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内 容 简介 


本 书 以 网 络 与 信息 安全 技术 为 对 象 ,从 信息 安全 技术 的 核心 部 分 一 一 密码 学 的 各 类 基础 算法 着 手 ， 
深入 浅 出 地 介绍 了 信息 安全 技术 相关 算法 的 理论 和 实践 知识 。 全 书 共 分 为 8 章 , 分 别 为 信息 安全 概述 、 
信息 安全 与 密码 学 、 对 称 密码 体系 、 公 钥 密 码 技术 、 密 钥 分 配 与 管理 、 数 字 签 名 技术 、 网 络 安全 技术 和 入 
侵 检 测 技术 等 内 容 。 

本 书 取材 新 颖 ,内 容 丰 富 , 概 念 清晰 ,结构 合理 ,通俗 易 懂 ,讲解 深入 浅 出 , 既 有 理论 方面 的 知识 ,又 
有 实用 技术 ,还 包括 一 些 最 新 的 学 科研 究 热点 技术 。 全 书 提供 了 大 量 应 用 实例 ,每 章 后 均 附 有 习题 。 

本 书 适合 作为 高 等 院 校 信 息 类 及 相关 专业 的 本 科 生 或 研究 生 教 材 ,也 可 供 相关 科研 人 员 和 对 信息 
安全 相关 技术 感 兴趣 的 读者 阅读 。 
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出 版 说 明 


21 世纪 是 信息 时 代 , 信 息 已 成 为 社会 发 展 的 重要 战略 资源 ,社会 的 信息 
化 已 成 为 当今 世界 发 展 的 潮流 和 核心 ,而 信息 安全 在 信息 社会 中 将 扮演 极为 
重要 的 角色 , 它 会 直接 关系 到 国家 安全 ,企业 经 营 和 人 们 的 日 常生 活 。 随 着 
信息 安全 产业 的 快速 发 展 ,全 球 对 信息 安全 人 才 的 需求 量 不 断 增 加 ,但 我 国 
目前 信息 安全 人 才 极 度 匮乏 , 远 远 不 能 满足 金融 .商业 公安、 军事 和 政府 等 
部 门 的 需求 。 要 解决 供需 矛盾 ,必须 加 快 信息 安全 人 才 的 培养 ,以 满足 社会 
对 信息 安全 人 才 的 需求 。 为 此 ,教育 部 继 2001 年 批准 在 武汉 大 学 开设 信息 
安全 本 科 专 业 之 后 ,又 批准 了 多 所 高 等 院 校 设立 信息 安全 本 科 专 业 , 而 且 许 
多 高 校 和 科研 院 所 已 设立 了 信息 安全 方向 的 具有 硕士 和 博士 学 位 授予 权 的 
学 科 点 。 

信息 安全 是 计算 机 、 通 信 、 物 理 、 数 学 等 领域 的 交叉 学 科 , 对 于 这 一 新 兴 
学 科 的 培养 模式 和 课程 设置 ,各 高 校 普遍 缺乏 经 验 ,因此 中 国 计 算 机 学 会 教 
育 专 业 委 员 会 和 清华 大 学 出 版 社 联合 主办 了 “信息 安全 专业 教育 教学 研讨 
会 "等 一 系列 研讨 活动 ,并 成 立 了 “高 等 院 校 信息 安全 专业 系列 教材 ”编审 委员 
会 ,由 我 国信 息 安全 领域 著名 专家 肖 国 镇 教授 担任 编 委 会 主任 ,指导 “高 等 院 校 
信息 安全 专业 系列 教材 ”的 编写 工作 。 编 委 会 本 着 研究 先行 的 指导 原则 ,认真 
研讨 国内 外 高 等 院 校 信息 安全 专业 的 教学 体系 和 课程 设置 ,进行 了 大 量 前 脆性 
的 研究 工作 ,而 且 这 种 研究 工作 将 随 着 我 国信 息 安全 专业 的 发 展 不 断 深入 。 经 
过 编 委 会 全 体委 员 及 相关 专家 的 推荐 和 审定 ,确定 了 本 丛书 首 批 教材 的 作者 ， 
这 些 作者 绝 大 多 数 都 是 既 在 本 专业 领域 有 深厚 的 学 术 造 诺 、 又 在 教学 第 一 线 有 
丰富 的 教学 经 验 的 学 者 、 专 家 。 

本 系列 教材 是 我 国 第 一 套 专 门 针对 信息 安全 专业 的 教材 ,其 特点 是 : 

Q@ 体系 完整 ,结构 合理 ,内 容 先进 。 

@ 适应 面 广 : 能 够 满足 信息 安全 、 计 算 机 、 通 信 工 程 等 相关 专业 对 信息 
安全 领域 课程 的 教材 要 求 。 

@ 立体 配套 : 除 主教 材 外 ,还 配 有 多 媒体 电子 教案 .习题 与 实验 指导 等 。 

@ 版 本 更 新 及 时 , 紧 跟 科学 技术 的 新 发 展 。 

为 了 保证 出 版 质量 ,我 们 坚持 宁 缺 考 滥 的 原则 ,成 熟 一 本 ,出 版 一 本 ,并 
保持 不 断 更 新 ,力求 将 我 国信 息 安 全 领域 教育 .科研 的 最 新 成 果 和 成 熟 经 验 
反映 到 教材 中 来 。 在 全 力 做 好 本 版 教材 , 满足 学 生 用 书 的 基础 上 , 还 经 由 专 
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家 的 推荐 和 审定 , 遵 选 了 一 批 国 外 信息 安全 领域 优秀 的 教材 加 入 到 本 系列 教材 中 ,以 进 一 
步 满足 大 家 对 外 版 书 的 需求 。 热 切 期 望 广大 教师 和 科研 工作 者 加 入 我 们 的 队伍 ,同时 也 
欢迎 广大 读者 对 本 系列 教材 提出 宝贵 意见 ,以 便 我 们 对 本 系列 教材 的 组 织 、 编 写 与 出 版 工 
作 不 断 改 进 ,为 我 国信 息 安 全 专业 的 教材 建设 与 人 才 培 养 做 出 更 大 的 贡献 。 

“高 等 院 校 信息 安全 专业 系列 教材 "已 于 2006 年 年 初 正式 列 人 普通 高 等 教育 “十 一 
五 ”国家 级 教材 规划 ( 见 教 高 [2006]9 号 文件 (教育 部 关于 印发 普通 高 等 教育 “十 一 五 ” 国 
家 级 教材 规划 选 题 的 通知 》) 。 我 们 会 严 把 出 版 环节 ,保证 规划 教材 的 编校 和 印刷 质量 , 按 
时 完成 出 版 任务 。 

2007 年 6 月 ,教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 成 立 大 会 暨 第 一 次 会 
议 在 北京 胜利 召开 。 本 次 会 议 由 教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 主任 单 
位 北京 工业 大 学 和 北京 电子 科技 学 院 主 办 ,清华 大 学 出 版 社 协办 。 教 育 部 高 等 学 校 信 息 
安全 类 专业 教学 指导 委员 会 的 成 立 对 我 国信 息 安全 专业 的 发 展 起 到 重要 的 指导 和 推动 作 
用 。2006 年 教育 部 给 武汉 大 学 下 达 了 “信息 安全 专业 指导 性 专业 规范 研制 ”的 教学 科研 
项 目 。2007 年 起 该 项 目 由 教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 组 织 实施 。 
在 高 教 司 和 教 指 委 的 指导 下 ,项 目 组 团结 一 致 ,努力 工作 ,克服 困难 ,历时 5 年 ,制定 出 我 
国 第 一 个 信息 安全 专业 指导 性 专业 规范 ,于 2012 年 年 底 通过 经 教育 部 高 等 教育 司 理工 科 
教育 处 授权 组 织 的 专家 组 评审 ,并 且 已 经 得 到 武汉 大 学 等 许多 高 校 的 实际 使 用 。2013 
年 ,新 一 届 “ 教 育 部 高 等 学 校 信息 安全 专业 教学 指导 委员 会 成立。 经 组 织 审查 和 研究 决 
定 ,2014 年 以 “教育 部 高 等 学 校 信息 安全 专业 教学 指导 委员 会 ”的 名 义 正式 发 布 (高 等 学 
校 信息 安全 专业 指导 性 专业 规范 (由 清华 大 学 出 版 社 正式 出 版 )。“ 高 等 院 校 信息 安全 专 
业 系 列 教材 ”在 教育 部 高 等 学 校 信 息 安全 专业 教学 指导 委员 会 的 指导 下 ,根据 (高 等 学 校 
信息 安全 专业 指导 性 专业 规范 ) 组 织 编 写 和 修订 ,进一步 体现 科学 性 、 系 统 性 和 新 颖 性 ,及 
时 反映 教学 改革 和 课程 建设 的 新 成 果 , 并 随 着 我 国信 息 安全 学 科 的 发 展 不 断 完善 。 

我 们 的 E-mail 地 址 : zhangm@tup. tsinghua. edu. cn; 联系 人 : 张 民 。 


“高 等 院 校 信息 安全 专业 系列 教材 ”编审 委员 会 
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信息 安全 技术 的 实用 性 及 重要 性 是 毋庸 置疑 的 。 时 至 今日 ,介绍 信息 安 
全 知识 的 图 书 可 谓 种 类 众多 ,包括 国内 外 学 者 撰写 的 各 种 理论 算法 或 算法 应 
用 类 的 书籍 ,其 中 不 乏 介 绍 和 研究 信息 安全 技术 的 经 典 。 不 过 ,由 于 信息 安 
全 本 身 涉及 内 容 很 多 ,部 分 概念 也 较为 复杂 ,致使 大 部 分 教材 类 图 书 篇 幅 过 
长 , 令 人 望 而 生 且 。 事 实 上 , 随 着 信息 化 和 信息 安全 上 升 为 我 国 国家 发 展 的 
最 高 战略 之 一 ,信息 安全 作为 一 门 学 科 及 专业 已 在 国内 各 个 院 校 发 展 起 来 。 
本 书 作 者 多 年 从 事 信息 安全 及 密码 学 教学 工作 ,一 直 深 感 编写 一 本 适宜 的 、 
通俗 易 懂 的 教材 ,让 更 多 的 读者 及 高 校 的 学 生 感 兴趣 ,能 看 进去 .学 明白 ,是 
一 件 值 得 探索 和 思考 的 有 意义 的 事情 。 

由 于 信息 安全 技术 涉及 面 甚 广 ,本 书 并 不 想 面面俱到 地 对 整个 信息 安全 
的 大 架构 进行 讨论 ,而 是 从 信息 安全 的 核心 部 分 一 一 密码 学 的 各 类 基础 算法 
着 手 , 系 统 、 翔 实地 介绍 了 信息 安全 技术 相关 算法 的 理论 和 实践 知识 ,并 尽 可 
能 地 涵盖 信息 安全 技术 的 主要 内 容 。 一 个 成 熟 的 密码 系统 首先 要 有 能 经 得 
起 严谨 理论 考验 的 算法 。 纵 观 当 代 密 码 系统 ,主要 分 为 公开 密 钥 系统 以 及 对 
称 密码 体系 两 类 。 以 前 者 为 代表 的 有 RSA、EIGamal 椭圆 曲线 密码 系统 ,而 
以 后 者 为 代表 的 有 DES、AES 等 。 这 些 密 码 系统 都 要 用 到 一 些 数学 上 的 概 
念 ,这 些 内 容 都 是 研究 当代 密码 学 的 基础 ,因此 ,本 书 对 与 算法 相关 的 数学 知 
识 也 有 针对 性 地 进行 了 介绍 ,将 基础 数论 内 容 列 人 其 中 。 

本 书 共 8 章 ,为 了 兼顾 不 同 层次 和 不 同 水 平 的 读者 ,在 内 容 安排 上 由 浅 
入 深 ,循序 渐进 ,同时 各 章 的 习题 难度 也 兼顾 不 同 的 需求 。 

第 1 章 信息 安全 概述 ,主要 讲述 信息 安全 的 基本 概念 ,以 及 信息 安全 面 
临 的 威胁 和 信息 安全 的 防护 体系 及 评估 标准 。 

第 2 章 信 息 安 全 与 密码 学 ,简单 明了 地 介绍 密码 学 的 基本 概念 ,包括 密 
码 系 统 的 组 成 .密码 体制 的 分 类 密码 系统 的 安全 性 以 及 密码 分 析 , 最 后 介绍 
古典 密码 体制 中 一 些 有 代表 性 的 加 密 算法 。 

第 3 章 对 称 密码 体系 ,介绍 对 称 密码 体系 的 概念 、 结 构 和 特点 ,之 后 详细 
阐述 对 称 密码 体系 的 两 类 算法 : 流 密码 和 分 组 密码 。 流 密码 部 分 重点 说 明 
其 构造 算法 和 工作 原理 ; 分 组 密码 部 分 主要 介绍 Feistel 密码 结构 。 然 后 通 
过 介绍 一 些 有 代表 性 的 加 密 算法 (如 DES、AES 和 IDEA) 来 强化 读者 对 对 称 
加 密 算法 的 理解 。 最 后 介绍 分 组 密码 的 常用 工作 模式 。 

第 4 章 公 钥 密码 技术 ,首先 介绍 公 钥 密码 中 使 用 到 的 数学 理论 知识 ,如 
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数论 和 信息 论 等 ,然后 详细 介绍 RSA 和 椭圆 曲线 密码 等 两 种 公 钥 密码 技术 。 

第 5 章 密 钥 分 配 与 管理 ,首先 介绍 单 钥 和 公 钥 加 密 体制 的 密 钥 分 配 技术 ,然后 介绍 密 
钥 托 管 及 秘密 分 割 技术 ,最 后 介绍 常用 的 消息 认证 技术 。 

第 6 章 数字 签名 技术 ,首先 介绍 数字 签名 技术 的 概念 ,然后 介绍 数字 签名 典型 算法 及 
数字 签名 体制 与 应 用 技术 。 

第 7 章 网 络 安全 技术 ,首先 介绍 网 络 安全 的 基本 概念 ,然后 对 OSI 网 络 模型 中 各 个 
层次 所 涉及 的 网 络 安全 技术 进行 介绍 ,包括 安全 协议 IPSec 电子 邮件 安全 协议 PGP、 
S/MIME 协议 ,Web 安全 协议 SSL .HTTPS 协议 以 及 VPN 的 相关 原理 和 应 用 等 。 

第 8 章 入 侵 检 测 技术 ,首先 介绍 人 侵 检 测 技术 的 概念 、 模 型 ,然后 介绍 人 侵 检 测 技术 
面临 的 问题 和 挑战 以 及 常用 的 入 侵 检测 技术 及 系统 ,最 后 介绍 人 侵 检测 系统 的 发 展 方向 。 

本 书 结构 清晰 ,内 容 翔 实 ,具有 很 强 的 可 读 性 ,适合 作为 高 等 院 校 信息 类 及 相关 专业 
的 本 科 生 或 研究 生 教材 ,也 适合 供 相关 科研 人 员 和 对 信息 安全 相关 技术 感 兴趣 的 读者 
阅读 。 
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第 工 章 
信息 安全 概述 


随 着 高 科技 信息 技术 的 飞速 发 展 ,信息 安全 技术 已 经 影响 到 社会 的 政治 ,经 济 、 文 化 
和 军事 等 各 个 领域 。 以 网 络 方式 获取 和 传播 信息 已 成 为 现代 信息 社会 的 重要 特征 之 一 。 
安全 的 需求 不 断 向 社会 的 各 个 领域 扩展 ,人 们 需要 保护 信息 ,以 确保 自己 的 利益 不 受 损 
害 。 本 章 首 先 介绍 了 信息 安全 的 概念 ,然后 介绍 了 信息 安全 面临 的 威胁 和 信息 安全 防护 
体系 及 评价 标准 。 


.1 信息 安全 的 概念 





20 世纪 中 叶 ,计算 机 的 出 现 从 根本 上 改变 了 人 类 加 工 信 息 的 手段 ,突破 了 人 类 大 脑 
及 感觉 器 官 加 工 利用 信息 的 能 力 。 应 用 电子 计算 机 、 通 信 卫 星 、 光 导 纤 维 组 成 的 现代 信息 
技术 革命 ,成 为 人 类 历史 上 最 重要 的 一 次 信息 技术 革命 ,使 人 类 进入 了 飞速 发 展 的 信息 社 
会 时 代 。 目 前 ,一 场 信 息 技术 革命 正在 横扫 整个 社会 ,无 论 是 产业 还 是 家 庭 ', 人 类 生活 的 
各 个 领域 无 不 受 其 影响 , 它 改 变 了 人 们 的 生活 方式 和 商业 形态 ,使 各 领域 相辅相成 ,互惠 
互利 。 


111 信息 与 信息 资产 


什么 是 信息 ? 近代 控制 论 的 创始 人 维 纳 有 一 句 名 言 :“ 信 息 就 是 信息 ,不 是 物质 ,也 
不 是 能 量 。 "这 和 句 话 听 起 来 有 点 抽象 ,但 指明 了 信息 与 物质 和 能 量具 有 不 同 的 属性 。 信 息 、 
物质 和 能 量 , 是 人 类 社会 赖 以 生存 和 发 展 的 三 大 要 素 。 


1. 信息 的 定义 

信息 的 定义 有 广义 的 和 狭义 的 两 个 层次 。 从 广义 上 讲 , 信 息 是 任何 一 个 事物 的 运动 
状态 以 及 运动 状态 形式 的 变化 , 它 是 一 种 客观 存在 。 例 如 ,日 出 、 月 落 , 花 谢 、 鸟 啼 以 及 气 
温 的 高 低 变化 、 股 市 的 涨 跌 等 ,都 是 信息 。 它 是 一 种 “ 纯 客观 ”的 概念 ,与 人 们 主观 上 是 否 
感觉 到 它 的 存在 没有 关系 。 而 狭义 的 信息 的 含义 却 与 此 不 同 。 狭 义 的 信息 ,是 指 信息 接 
收 主体 所 感觉 到 并 能 理解 的 东西 。 中 国 古 代 有 * 周 幽王 烽火 戏 诸侯 2 和"* 梁 红 玉 击 鼓 战 金 
山 ” 的 典故 ,这 里 的 “烽火 "和 “ 击 鼓 "都 代表 了 能 为 特定 接收 者 所 理解 的 军情 ,因而 可 称 为 
“信息 ” 相反 ,至 今 仍 未 能 破译 的 一 些 刻 在 石 岸上 的 文字 和 符号 ,尽管 它们 是 客观 存在 
的 ,但 由 于 人 们 (接收 者 ) 不 能 理解 ,因而 从 狭义 上 讲 仍 算 不 上 是 “信息 ”。 同 样 道理 ,从 这 
个 意义 上 讲 , 鸟 语 是 鸟 类 的 信息 ,而 对 人 类 来 说 却 算 不 上 是 “信息 ”。 可见, 狭义 的 信息 是 
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一 个 与 接收 主体 有 关 的 概念 。 

ISO 13335《 信 息 技术 安全 管理 指南 ) 是 非常 重要 的 国际 标准 ,其 中 对 信息 给 出 了 明确 
的 定义 : 信息 是 通过 在 数据 上 施加 某 些 约定 而 赋予 这 些 数 据 的 特殊 含义 。 信 息 是 无 形 
的 ,借助 于 信息 媒体 以 多 种 形式 存在 和 传播 ; 同时 ,信息 也 是 一 种 重要 资产 ,具有 价值 , 需 
要 保护 。 通 常 的 信息 资产 分 类 如 表 1-1 所 示 。 


表 1-1 通常 的 信息 资产 分 类 


分 类 示 例 

存在 于 电子 媒介 的 各 种 数据 资料 ,包括 源 代码 ,数据 库 数据 ,各 种 数据 资料 、 系 统 文档 、 运 
行 管理 规程 .计划 报告. 用户 手册 等 

软件 | 应 用 软件 、 系 统 软件 、 开 发 工具 和 资料 库 等 

硬件 ”| 计算 机 硬件 .路 由 器 交换 机 硬件 防火 墙 程 控 交 换 机 布线、 备份 存储 设备 等 

操作 系统 .WWW、SMTP、POP3、FTP、MRPII、.DNS、 呼 叫 中 心 .内 部 文件 服务 、 网 络 连接 、 
网 络 隔离 保护 、 网 络 管理 、 网 络 安全 保障 、 入 侵 监 控 及 各 种 业务 应 用 等 

文档 ”| 纸 质 的 各 种 文件 ,传真 电报、 财务 报告 .发展 计划 等 

设备 “| 电源 ,空调 ,保险 柜 、 文 件 柜 门禁 、 消 防 设施 等 

人 员 “| 各 级 雇员 和 雇主 、 合 同方 雇员 等 

其 他 ”| 企业 形象 ,客户 关系 等 





























2 信息 的 特点 

人 们 更 为 关注 的 是 狭义 信息 。 就 狭义 信息 而 论 , 它 们 具有 如 下 共同 特征 。 

Qz 信息 与 接收 对 象 以 及 要 达到 的 目的 有 关 。 例 如 ,一 份 人 尘封 已 久 的 重要 历史 文献 ， 
在 还 没有 被 人 发 现 的 时 候 , 它 只 不 过 是 混迹 在 废 纸 堆 里 的 单纯 印刷 品 ,而 当 人 们 阅读 并 理 
解 它 的 价值 时 , 它 才 成 为 信息 。 又 如 ,公元 前 巴比伦 和 阿 亚 利 亚 等 地 广泛 使 用 的 棉 形 文 
字 , 很 长 时 间 里 人 们 都 读 不 懂 它 , 那 时 候 , 还 不 能 说 它 是 “信息 ”。 后 来 ,经 过 众多 语言 学 家 
的 努力 , 它 能 被 人 们 理解 了 ,于 是 , 它 也 就 成 了 信息 。 

@ 信息 的 价值 与 接收 信息 的 对 象 有 关 。 例 如 ,有 关 移 动 电话 辐射 对 人 体 的 影响 问题 
的 讨论 ,对 城市 居民 特别 是 手机 使 用 者 来 说 是 重要 信息 ,而 对 于 生活 在 偏远 农村 或 从 不 使 
用 手机 的 人 来 说 ,就 可 能 是 没有 多 大 价值 的 信息 。 

@ 信息 有 多 种 多 样 的 传递 手段 。 例 如 ,人 与 人 之 间 的 信息 传递 可 以 用 符号 语言 文字 或 
图 像 等 为 媒体 来 进行 ; 生物 体内 部 的 信息 可 以 通过 电化 学 变化 ,经 过 神经 系统 来 传递 ; 等 等 。 

@ 信息 在 使 用 中 不 仅 不 会 被 消耗 掉 , 还 可 以 加 以 复制 ,这 就 为 信息 资源 的 共享 创造 
了 条 件 。 


112 信息 安全 


1 信息 安全 的 发 展 

信息 安全 的 发 展 历经 了 三 个 主要 阶段 。 

(1) 通信 保密 阶段 

通信 保密 阶段 开始 于 20 世纪 40 年 代 , 在 这 个 阶段 所 面临 的 主要 安全 威胁 是 搭 线 窃 


maaqg 第] 章 信息 安全 概述 gm 


听 和 密码 分 析 , 其 主要 保护 措施 是 数据 加 密 。 该 阶段 的 核心 问题 是 通信 安全 ,而 且 关 
心 的 对 象 主要 是 军 方 和 政府 组 织 , 需 要 解决 的 问题 是 在 远程 通信 中 拒绝 非 授 权 用 户 的 
访问 以 及 确保 通信 的 真实 性 ,主要 方式 包括 加 密 、 传 输 保密 、 发 射 保密 以 及 通信 设备 的 
物理 安全 。 

(2) 信息 安全 阶段 

计算 机 的 出 现 以 及 网 络 通信 技术 的 发 展 ,使 人 类 对 于 信息 的 认识 逐渐 深化 ,对 于 信息 
安全 的 理解 也 在 扩展 。 人 们 发 现 , 在 原来 所 关注 的 保密 性 属性 之 外 ,还 有 其 他 方面 的 属性 
也 应 当 是 信息 安全 所 关注 的 ,这 其 中 最 主要 的 是 完整 性 和 可 用 性 ,由 此 构成 了 支撑 信息 安 
全 体系 的 三 要 素 。 

(3) 安全 保障 阶段 

信息 安全 的 保密 性 、 完 整 性 、 可 用 性 三 个 主要 属性 ,大 多 集中 于 安全 事件 的 事先 预防 ， 
属于 保护 (Protection) 的 范畴 。 但 人 们 逐渐 认识 到 安全 风险 的 本 质 ,认识 到 不 存在 绝对 的 
安全 ,事先 预防 措施 不 足以 保证 不 会 发 生 安全 事件 ,一 旦 发 生 安全 事件 ,那么 事 发 时 的 处 
理 以 及 事后 的 处 理 ,都 应 当 是 信息 安全 要 考虑 的 内 容 , 安 全 保障 的 概念 随 之 产生 。 所 谓 安 
全 保障 ,就 是 在 统一 安全 策略 的 指导 下 ,安全 事件 的 事先 预防 (保护 ) 、 事 发 处 理 (检测 和 响 
应 ) .事后 恢复 等 主要 环节 相互 配合 ,构成 一 个 完整 的 保障 体系 。 


2 信息 安全 的 定义 

ISO( 国 际 标准 化 组 织 ) 对 于 信息 安全 给 出 了 精确 的 定义 ,这 个 定义 的 描述 是 : 信息 安 
全 是 为 数据 处 理 系统 建立 和 采用 的 技术 和 管理 的 安全 保护 ,保护 计算 机 硬件 .软件 和 数据 
不 因 偶 然 和 恶意 的 原因 遭 到 破坏 .更 改 和 泄露 。 

ISO 的 信息 安全 定义 清楚 地 回答 了 人 们 所 关心 的 信息 安全 主要 问题 , 它 包 括 三 方面 
含义 。 

(1) 信息 安全 的 保护 对 象 

信息 安全 的 保护 对 象 是 信息 资产 ,典型 的 信息 资产 包括 计算 机 硬件 、 软 件 和 数据 。 

(2) 信息 安全 的 目标 

信息 安全 的 目标 就 是 保证 信息 资产 的 三 个 基本 安全 属性 。 信 息 资产 被 泄露 意味 着 保 
密 性 受到 影响 ,被 更 改 意味 着 完整 性 受到 影响 ,被 破坏 意味 着 可 用 性 受到 影响 ,而 保密 性 、 
完整 性 和 可 用 性 三 个 基本 属性 是 信息 安全 的 最 终 目 标 。 

(3) 实现 信息 安全 目标 的 途径 

实现 信息 安全 目标 的 途径 要 借助 两 方面 的 控制 措施 , 即 技术 措施 和 管理 措施 。 从 这 
里 就 能 看 出 技术 和 管理 并 重 的 基本 思想 , 重 技术 轻 管理 或 者 重 管理 轻 技术 ,都 是 不 科学 并 
且 有 局 限 性 的 错误 观点 。 


3 信息 安全 的 基本 属性 
信息 安全 包括 保密 性 、 完 整 性 和 可 用 性 三 个 基本 属性 ,如 图 1-1 所 示 。 
中 保密 性 (Confidentiality) : 确保 信息 在 存储 、 使 用 传输 过 程 中 不 会 泄露 给 非 授权 
的 用 户 或 者 实体 。 信 息 的 保密 性 是 指 确保 只 有 那些 被 授予 特定 权限 的 人 才能 够 访问 
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到 信息 。 信 息 的 保密 性 依据 信息 被 允许 访问 对 象 的 多 少 而 不 同 ,所 有 人 员 都 可 以 访问 
保密 性 的 信息 为 公开 信息 ,需要 限制 访问 的 信息 为 敏感 信 

息 或 秘密 信息 。 根 据 信息 的 重要 程度 和 保密 要 求 可 

将 信息 分 为 不 同 密级 。 例 如 ,军队 内 部 文件 一 般 分 

为 秘密 .机 密 和 绝密 三 个 等 级 ,已 授权 用 户 根据 所 授 


FE 也 的 操作 权限 可 以 对 保密 信息 进行 操作 。 有 的 用 户 

完整 性 可 用 性 ”只 可 以 读 取信 息 ; 有 的 用 户 既 可 以 进行 读 操作 又 可 

图 1.1 信息 安全 的 基本 属性 。 “以 进行 写 操作 。 信 息 的 保密 性 主要 通过 加 密 技术 来 
保证 。 


@ 完整 性 (Integrity) : 确保 信息 在 存储 、 使 用 、 传 输 过 程 中 不 被 非 授权 用 户 算 改 ; 防 
止 授 权 用 户 对 信息 进行 不 恰当 的 算 改 ; 保证 信息 的 内 外 一 臻 性。 信息 的 完整 性 是 指 要 保 
证 信息 和 处 理 方法 的 正确 性 和 完整 性 。 信 息 完整 性 一 方面 是 指 在 使 用 、 传 输 、 存 储 信息 的 
过 程 中 不 发 生 自 改 信息 ,丢失 信息 .错误 信息 等 现象 ; 另 一 方面 是 指 信息 处 理 的 方法 的 正 
确 性 ,执行 不 正当 的 操作 有 可 能 造成 重要 文件 的 丢失 ,甚至 整个 系统 的 瘫痪 。 信 息 的 完整 
性 主要 通过 报 文摘 要 技术 和 加 密 技术 来 保证 。 

@ 可 用 性 (Availability) : 确保 授权 用 户 或 者 实体 对 于 信息 及 资源 的 正常 使 用 不 会 
被 异常 拒绝 ,允许 其 可 靠 而 且 及 时 地 访问 信息 及 资源 。 信 息 的 可 用 性 是 指 确保 那些 已 被 
授权 的 用 户 在 他 们 需要 的 时 候 ,确实 可 以 访问 得 到 所 需要 的 信息 , 即 信 息 及 相关 的 信息 资 
产 在 授权 人 需要 的 时 候 , 可 以 立即 获得 。 例 如 ,通信 线路 中 断 故 障 、 网 络 的 拥堵 会 造成 信 
息 在 一 段 时 间 内 不 可 用 ,影响 正常 的 业务 运营 ,这 是 信息 可 用 性 的 破坏 。 提 供 信 息 的 系统 
必须 能 适当 地 承受 攻击 并 在 失败 时 恢复 。 信 息 的 可 用 性 主要 通过 实时 的 备份 与 恢复 技术 
来 保证 。 

除 此 之 外 ,信息 安全 还 包括 其 他 基本 属性 。 

Oa 不 可 否认 性 (Non Repudiation) : 信息 的 不 可 和 否认 性 也 称 抗 抵赖 性 .不 可 抵赖 性 ， 
它 是 传统 的 不 可 否认 需求 在 信息 社会 的 延伸 。 人 类 社会 的 各 种 商务 和 政务 行为 是 建立 在 
信任 的 基础 上 的 ,传统 的 公章 、. 印 截 .签名 等 手段 便 是 实现 不 可 和 否认 性 的 主要 机 制 ,信息 的 
不 可 否认 性 与 此 相同 ,也 是 防止 实体 否认 其 已 经 发 生 的 行为 。 信 息 的 不 可 否认 性 分 为 原 
发 不 可 否认 (也 称 原 发 抗 抵赖 ) 和 接收 不 可 否认 (接收 抗 抵赖 ) ,前 者 用 于 防止 发 送 者 否认 
自己 已 发 送 的 数据 和 数据 内 容 ; 后 者 防止 接收 者 否认 已 接收 过 的 数据 和 数据 内 容 。 信 息 
的 不 可 否认 性 主要 通过 身份 认证 技术 (包括 数字 签名 数字 证 书 IC 或 USBkey 令 牌 、 指 
纹 、 视 网 膜 . 掌 形 、 脸 形 等 ) 来 保证 。 

@ 可 控 性 (Controllability) : 信息 的 可 控 性 是 指 能 够 控制 使 用 信息 资源 的 人 或 主体 
的 使 用 方式 。 对 于 信息 系统 中 的 敏感 信息 资源 ,如 果 任 何 主体 都 能 访问 、 算 改 、 窃 取 以 及 
恶意 散播 ,那么 安全 系统 显然 会 失去 效用 。 对 访问 信息 资源 的 人 或 主体 的 使 用 方式 进行 
有 效 控制 ,是 信息 安全 的 必然 要 求 。 从 国家 层面 看 ,信息 安全 的 可 控 性 不 但 涉及 信息 的 
可 控 性 ,还 与 安全 产品 、 安 全 市 场 、 安 全 厂商 ,安全 研发 人 员 的 可 控 性 紧密 相关 。 信 息 
的 可 控 性 主要 通过 基于 PKI/PMI( 公 钥 基 础 设施 /授权 管理 基础 设施 ) 的 访问 控制 技术 
来 保证 。 
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@ 可 靠 性 (Reliability) : 信息 用 户 认 可 的 质量 连续 服务 于 用 户 的 特征 (信息 的 迅 
速 、 准 确 和 连续 地 转移 等 ) ,但 也 有 人 认为 可 靠 性 是 人 们 对 信息 系统 而 不 是 信息 本 身 的 
要 求 。 


4 信息 安全 模型 

人 们 一 直 致 力 于 用 确定 ,简洁 的 安全 模型 来 描述 信息 安全 ,在 信息 安全 领域 中 有 多 种 
安全 模型 ,如 PDR 模型 . PPDRR 模型 等 。 

(1) PDR 模型 

PDR 模型 之 所 以 著名 ,是 因为 它 是 第 一 个 从 时 间 关 系 描述 一 个 信息 系统 是 否 安全 的 
模型 ,如 图 1-2 所 示 。PDR 模型 中 的 P 代表 保护 (Protection)、D 代表 检测 (Detection) 、R 
代表 响应 (Response) ,该 模型 中 使 用 了 如 下 三 个 时 间 参 数 。 

Q@ Pt, 有 效 保护 时 间 , 是 指 信息 系统 的 安全 控制 措施 所 能 有 效 发 挥 保护 作用 的 时 间 。 

@ Dt, 检 测 时 间 , 是 指 安全 检测 机 制 能 够 有 效 发 现 攻 击 破坏 行为 所 需 的 时 间 。 

@ Rt, 响 应 时 间 ,是 指 安全 响应 机 制 做 出 反应 和 处 理 所 需 的 时 间 。 

PDR 模型 用 下 列 时 间 关 系 表达 式 来 说 明 信 息 系统 是 否 安全 。 

Q@ Pt 三 Dt 十 Rt, 系 统 安全 , 即 在 安全 机 制 针 对 攻击 、 破 坏 行为 做 出 成 功 的 检测 和 响 
应 时 ,安全 控制 措施 依然 在 发 挥 有 效 的 保护 作用 ,攻击 和 破坏 行为 未 给 信息 系统 造成 
损失 。 

@ Pt 二 Dt 十 Rt, 系 统 不 安全 , 即 信息 系 统 的 安全 控制 措施 的 有 效 保 护 作 用 ,在 正确 的 
检测 和 响应 做 出 之 前 就 已 经 失效 ,破坏 和 攻击 行为 已 经 给 信息 系统 造成 了 实质 性 破坏 和 
影响 。 

(2) PPDRR 模型 

正如 信息 安全 保障 所 描述 的 ,一 个 完整 的 信息 安全 保障 体系 ,应 当 包括 安全 策略 
(Policy) ,保护 (Protection) 检测 (Detection)、 响 应 (Response) 恢复 (Restoration) 五 个 
主要 环节 ,这 就 是 PPDRR 模型 的 内 容 ,如 图 1-3 所 示 。 









保护 (Protection) 

















策略 
(Policy) 策略 
(Policy) 


响应 


(Response) 


恢复 出 应 


(Restoration) (Response) 





检测 (Detection) 





图 1-2 PDR 模型 图 1-3 PPDRR 模型 


保护 检测 、 响 应 和 恢复 四 个 环节 要 在 策略 的 统一 指导 下 构成 相互 作用 的 有 机 整体 。 
PPDRR 模型 从 体系 结构 上 给 出 了 信息 安全 的 基本 模型 。 


me 信息 安全 技术 





_ 二 。 信息 安全 面临 的 威胁 


所 谓 信息 安 全 威胁 ,是 指 某 个 人 、 物 或 事件 对 信息 资源 的 保密 性 、 完 整 性 、 可 用 性 或 合 
法 使 用 所 造成 的 危险 。 攻 击 就 是 对 安全 威胁 的 具体 体现 。 虽然 人 为 因素 和 非 人 为 因素 都 
可 以 对 通信 安全 构成 威胁 ,但 是 精心 设计 的 人 为 攻击 威胁 最 大 。 

本 节 将 介绍 信息 系统 面临 的 威胁 及 分 类 、 威 胁 的 表现 形式 和 主要 来 源 。 
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安全 威胁 有 了 时 可 以 被 分 为 故意 的 和 偶然 的 。 故意 的 威胁 如 假冒 、 自 改 等 ,偶然 的 威胁 
如 信息 被 发 往 错误 的 地 址 \ 误 操作 等 。 故 意 的 威胁 又 可 以 进一步 分 为 主动 攻击 和 被 动 攻 
击 。 被 动 攻击 不 会 导致 对 系统 中 所 含 信息 的 任何 改动 ,如 搭 线 窃听 、 业 务 流 分 析 等 ,而 且 
系统 的 操作 和 状态 也 不 会 改变 ,因此 被 动 攻击 主要 威胁 信息 的 保密 性 ; 主动 攻击 则 意 在 
自 改 系统 中 所 含 信息 ,或 者 改变 系统 的 状态 和 操作 ,因此 主动 攻击 主要 威胁 信息 的 完整 
性 、 可 用 性 和 真实 性 。 信 息 系 统 所 面临 的 威胁 可 分 为 以 下 几 类 。 


1 信息 通信 过 程 中 的 威胁 

信息 系统 的 用 户 在 进行 通信 的 过 程 中 ,常常 受到 两 个 方面 的 攻击 : 一 是 主动 攻击 , 攻 
击 者 通过 网 络 线路 将 虚假 信息 或 计算 机 病毒 传人 信息 系统 内 部 ,破坏 信息 的 真实 性 、 完 整 
性 及 系统 服务 的 可 用 性 , 即 通过 中 断 、 伪 造 、 自 改 和 重 排 信 息 内 容 造 成 信息 破坏 ,使 系统 无 
法 正常 运行 ,严重 的 甚至 使 系统 处 于 瘫痪 ; 二 是 被 动 攻击 ,攻击 者 非法 截获 ,窃取 通信 线 
路 中 的 信息 ,使 信息 保密 性 遭 到 破坏 ,信息 泄露 而 无 法 察觉 ,给 用 户 带 来 巨大 的 损失 。 下 
面 介绍 如 图 1-4 所 示 的 四 种 攻击 类 型 。 
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图 1-4 攻击 类 型 























Q@ 中 断 : 是 指 威 胁 源 使 系统 的 资源 受 损 或 不 能 使 用 ,从 而 暂停 数据 的 流动 或 服务 ， 
属于 主动 攻击 。 

@ 截获 : 是 指 某 个 威胁 源 未 经 允许 而 获得 了 对 一 个 资源 的 访问 ,并 从 中 盗窃 了 有 用 
的 信息 或 服务 ,属于 被 动 攻击 。 

@ 自 改 : 是 指 某 个 威胁 源 未 经 许可 却 成 功 地 访问 并 改动 了 某 项 资源 ,因而 自 改 了 所 
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提供 的 信息 服务 ,属于 主动 攻击 。 
@ 伪造 : 是 指 某 个 威胁 源 未 经 许可 而 在 系统 中 制造 出 了 假 消息 源 、 虚 假 的 信息 或 服 
务 , 属 于 主动 攻击 。 


2 信息 存储 过 程 中 的 威胁 

对 存储 于 计算 机 系统 中 的 信息 ,非法 用 户 在 获取 系统 访问 控制 权 后 ,可 以 浏览 存储 介 
质 上 的 保密 数据 或 专利 软件 ,并 且 对 有 价值 的 信息 进行 统计 分 析 ,推断 出 所 有 的 数据 ,这 
样 就 使 信息 的 保密 性 、 真 实 性 、 完 整 性 遭 到 破坏 。 


3 信息 加 工 处理 中 的 威胁 

信息 在 进行 处 理 过 程 中 ,通常 都 是 以 源码 出 现 , 加 密 保护 对 处 理 中 的 信息 不 起 作用 。 
因此 ,在 这 期 间 有 意 攻 击 和 意外 操作 都 极 易 使 系统 遭受 破坏 ,造成 损失 。 除 此 之 外 ,信息 
系统 还 会 因为 计算 机 硬件 的 缺陷 、 软 件 的 脆弱 .电磁 辐射 和 客观 环境 等 原因 造成 损害 , 威 
胁 计 算 机 信息 系统 的 安全 。 
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1 信息 安全 威胁 的 表现 形式 

JD 信息 泄露 : 信息 被 泄露 或 透露 给 某 个 非 授 权 的 实体 。 

@ 破坏 信息 的 完整 性 : 数据 被 非 授权 地 进行 增删 .修改 或 破坏 而 受到 损失 。 

@ 拒绝 服务 : 对 信息 或 其 他 资源 的 合法 访问 被 无 条 件 地 阻止 。 

@ 非法 使 用 ( 非 授权 访问 ): 某 一 资源 被 某 个 非 授权 的 人 ,或 以 非 授 权 的 方式 使 用 。 

@ 窃听 : 用 各 种 可 能 的 合法 或 非法 的 手段 窃取 系统 中 的 信息 资源 和 敏感 信息 。 例 
如 ,对 通信 线路 中 传输 的 信号 搭 线 监听 ,或 者 利用 通信 设备 在 工作 过 程 中 产生 的 电磁 泄漏 
截取 有 用 信息 等 。 

@ 业务 流 分 析 : 通过 对 系统 进行 长 期 监听 ,利用 统计 分 析 方 法 对 诸如 通信 频 度 、 通 
信 的 信息 流向 ,通信 总 量 的 变化 等 参数 进行 研究 ,从 中 发 现 有 价值 的 信息 和 规律 。 

@ 假冒 : 通过 欺骗 通信 系统 (或 用 户 ) 达 到 非法 用 户 冒 充 成 为 合法 用 户 ,或 者 特权 小 
的 用 户 冒 充 成 为 特权 大 的 用 户 的 目的 。 黑 客 大 多 是 采用 假冒 攻击 。 

旁 路 控制 : 攻击 者 利用 系统 的 安全 缺陷 或 安全 性 上 的 脆弱 之 处 获得 非 授 权 的 权 
利 或 特权 。 例 如 ,攻击 者 通过 各 种 攻击 手段 发 现 原本 应 保密 但 是 却 又 暴露 出 来 的 一 些 系 
统 “ 特 性 ”, 利 用 这 些 “ 特 性 ”, 攻 击 者 可 以 绕 过 防线 守卫 者 侵入 系统 的 内 部 。 

@ 授权 侵犯 : 被 授权 以 某 一 目的 使 用 某 一 系统 或 资源 的 某 个 人 , 却 将 此 权限 用 于 其 
他 非 授权 的 目的 ,也 称 内 部 攻击 。 

四 特洛伊 木马 : 软件 中 含有 一 个 不 易 觉 察 的 有 害 的 程序 段 , 当 它 被 执行 时 ,会 破坏 
用 户 的 安全 。 这 种 应 用 程序 称 为 特洛伊 木马 (Trojan Horse) 。 

@ 陷阱 门 : 在 某 个 系统 或 某 个 部 件 中 设置 的 “机 关 ”, 使 得 在 特定 的 数据 输入 时 , 允 
许 违反 安全 策略 。 

@@ 抵赖 : 这 是 一 种 来 自用 户 的 攻击 。 例 如 ,否认 自己 曾经 发 布 过 的 某 条 消息 、 伪 造 
一 份 对 方 来 信 等 。 
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加 重 放 : 出 于 非法 目的 ,将 所 截获 的 某 次 合法 的 通信 数据 进行 复制 ,进而 重新 发 送 。 

@ 计算 机 病毒 : 一 种 在 计算 机 系统 运行 过 程 中 能 够 实现 传染 和 侵害 功能 的 程序 。 

@ 人 员 不 慎 : 一 个 被 授权 的 人 为 了 某 种 利益 ,或 由 于 粗心 ,将 信息 泄露 给 一 个 非 授 
权 的 人 。 

四 媒体 废弃 : 信息 被 从 废弃 的 磁 碟 或 打印 过 的 存储 介质 中 获得 。 

加 物理 侵入 : 侵入 者 绕 过 物理 控制 而 获得 对 系统 的 访问 。 

@ 窃取 : 重要 的 安全 物品 ,如 令 牌 或 身份 卡 被 盗 。 

四 业务 欺骗 : 某 一 伪 系 统 或 系统 部 件 欺骗 合法 的 用 户 或 系统 自愿 地 放弃 敏感 信 
息 等 。 


2 威胁 的 主要 来 源 

Q@ 自然 灾害 、 意 外 事故 。 

@ 计算 机 犯罪 。 

@ 人 为 错误 ,例如 使 用 不 当 、 安 全 意识 差 等 。 

@ “黑客 ”行为 。 

@ 内 部 泄密 。 

@ 外 部 泄密 。 

@ 信息 丢失 。 

@ 电子 谍报 ,例如 信息 流量 分 析 、 信 息 窃取 等 。 

信息 战 。 

四 网 络 协议 自身 缺陷 ,例如 TCP/IP 协议 的 安全 问题 等 。 

针对 以 上 的 信息 威胁 方式 和 主要 来 源 , 应 该 时 刻 做 好 防范 措施 ,遵守 保密 原则 ,提高 
自身 科学 技术 水 平 ,能 够 清楚 明 辨 各 种 违法 窃 密 手段 ,为 信息 安全 贡献 自己 的 力量 。 
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要 想 真 正 为 信息 系统 提供 有 效 的 安全 保护 ,必须 系统 地 进行 安全 保障 体系 的 建设 , 避 
免 孤 立 、 零 散 地 建立 一 些 控制 措施 ,而 是 要 使 之 构成 一 个 有 机 的 整体 。 在 这 个 体系 中 , 包 
括 安全 技术 安全 管理 .人员 组 织 、 教 育 培训 、 资 金 投入 等 关键 因素 。 信 息 安全 建设 的 内 容 
多 、 规 模 大 ,必须 进行 全 面 的 统筹 规划 ,明确 信息 安全 建设 的 工作 内 容 、 技 术 标准 、 组 织 机 
构 .管理 规范 人员 岗 位 配备 .实施 步 又、 资金 投入 ,才能 够 保证 信息 安全 建设 有 序 可 控 地 
进行 ,才能 够 使 信息 安全 体系 发 挥 最 优 的 保障 效果 。 

信息 安全 保障 体系 由 一 组 相互 关联 .相互 作用 、 相 互 弥补 、 相 互 推动 ,相互 依赖 .不 可 
分 割 的 信息 安全 保障 要 素 组 成 。 一 个 系统 的 、 完 整 的 .有 机 的 信息 安全 保障 体系 的 作用 力 
远 远大 于 各 个 信息 安全 保障 要 素 的 保障 能 力 之 和 。 在 此 框架 中 ,以 安全 策略 为 指导 ,融合 
了 安全 技术 .安全 组 织 与 管理 和 和 运行 保障 三 个 层次 的 安全 体系 ,达到 系统 可 用 性 、 可 控 性 、 
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抗 攻 击 性 、 完 整 性 、 保 密 性 的 安全 目标 。 信 息 安全 保障 体系 的 总 体 结构 如 图 1-5 所 示 。 
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1-5 信息 安全 保障 体系 的 总 体 结构 


(1) 安全 技术 体系 

安全 技术 体系 是 整个 信息 安全 体系 框架 的 基础 ,包括 安全 基础 设施 平台 、 安 全 应 用 系 
统 平台 和 安全 综合 管理 平台 三 部 分 ,是 以 统一 的 安全 基础 设施 平台 为 支撑 ,以 统一 的 安全 
应 用 系统 平台 为 辅助 ,在 统一 的 安全 综合 管理 平台 管理 下 的 技术 保障 体系 框架 。 

安全 基础 设施 平台 是 以 安全 策略 为 指导 ,从 物理 和 通信 安全 防护 、 网 络 安全 防护 、 主 
机 系统 安全 防护 .应 用 安全 防护 等 多 个 层次 出 发 ,立足 于 现 有 的 成 熟 安 全 技术 和 安全 机 
制 ,建立 起 的 一 个 各 个 部 分 相互 配合 的 、 完 整 的 安全 技术 防护 体系 。 

安全 应 用 系统 平台 处 理 安全 基础 设施 与 应 用 信息 系统 之 间 的 关联 和 集成 问题 。 应 用 
信息 系统 通过 使 用 安全 基础 设施 平台 所 提供 的 各 类 安全 服务 ,提升 自身 的 安全 等 级 ,以 更 
加 安全 的 方式 提供 业务 服务 和 信息 管理 服务 。 

安全 综合 管理 平台 的 管理 范围 尽 可 能 地 涵盖 安全 技术 体系 中 涉及 的 各 种 安全 机 制 与 
安全 设备 ,对 这 些 安全 机 制 和 安全 设备 进行 统一 的 管理 和 控制 ,负责 管理 和 维护 安全 策 
略 , 配 置 管理 相应 的 安全 机 制 ,确保 这 些 安 全 技术 与 设施 能 够 按照 设计 的 要 求 协同 运作 ， 
可 靠 运行 。 它 在 传统 的 信息 系统 应 用 体系 与 各 类 安全 技术 、 安 全 产品 、 安 全 防御 措施 等 安 
全 手段 之 间 搭 起 桥梁 ,使 得 各 类 安全 手段 能 与 现 有 的 信息 系统 应 用 体系 紧密 地 结合 ,实现 
“无 缝 连接 ”, 促 成 信息 系统 安全 与 信息 系统 应 用 真正 的 一 体 化 ,使 得 传统 的 信息 系统 应 用 
体系 逐步 过 渡 为 安全 的 信息 系统 应 用 体系 。 

统一 的 安全 管理 平台 有 助 于 各 种 安全 管理 技术 手段 的 相互 补充 和 有 效 发 挥 , 也 便于 
从 系统 整体 的 角度 来 进行 安全 的 监控 和 管理 ,从 而 提高 安全 管理 工作 的 效率 ,使 人 为 的 安 
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全 管理 活动 参与 量 大 幅 下 降 。 

(2) 安全 组 织 与 管理 体系 

安全 组 织 与 管理 体系 是 安全 技术 体系 真正 有 效 发 挥 保护 作用 的 重要 保障 。 安 全 组 织 
与 管理 体系 的 设计 立足 于 总 体 安全 策略 ,并 与 安全 技术 体系 相互 配合 ,增强 技术 防护 体系 
的 效率 和 效果 ,同时 弥补 当前 技术 无 法 完全 解决 的 安全 缺陷 。 

技术 和 管理 是 相互 结合 的 。 一 方面 ,安全 防护 技术 措施 需要 安全 管理 措施 来 加 强 ; 
另 一 方面 ,安全 防护 技术 措施 也 是 对 安全 管理 措施 贯彻 执行 的 监督 手段 。 安 全 组 织 与 管 
理 体系 的 设计 要 参考 和 借鉴 国际 信息 安全 管理 标准 BS7799(ISO 17799) 的 要 求 。 

信息 安全 管理 体系 由 若干 信息 安全 管理 类 组 成 ,每 项 信息 安全 管理 类 可 分 解 为 多 个 
安全 目标 和 安全 控制 。 每 个 安全 目标 都 有 若干 安全 控制 与 其 相对 应 ,这 些 安全 控制 是 为 
了 达成 相应 安全 目标 的 管理 工作 和 要 求 。 信 息 安 全 管理 体系 包括 以 下 管理 类 : 安全 策略 
与 制度 .安全 风险 管理 .人 员 和 组 织 安全 管理 .环境 和 设备 安全 管理 网络 和 通信 安全 管 
理 , 主 机 和 系统 安全 管理 ,应 用 和 业务 安全 管理 ,数据 安全 和 加 密 管理 ,项 目 工 程 安全 管 
理 、 运 行 和 维护 安全 管理 ,业务 连续 性 管理 , 合 规 性 (符合 性 ) 管 理 。 

(3) 运行 保障 体系 

运行 保障 体系 由 安全 技术 和 安全 管理 紧密 结合 的 内 容 所 组 成 ,包括 系统 可 靠 性 设计 、 
系统 数据 的 备份 计划 .安全 事件 的 应 急 响应 计划 安全 审计 、 灾 难 恢复 计划 等 。 和 运行 保障 
体系 对 于 网 络 和 信息 系统 的 可 持续 性 运营 提供 了 重要 的 保障 手段 。 


132 信息 安全 评估 标准 


1 国外 信息 安全 产品 评估 标准 的 发 展 

以 美国 为 首 的 西方 发 达 国 家 和 俄罗斯 及 其 盟国 , 早 在 20 世纪 50 年 代 即 着 手 开发 用 
于 政府 和 军队 的 信息 安全 产品 。 到 20 世纪 末 , 美 国信 息 安全 产品 产值 已 达 500 亿美 元 。 

随 着 产品 研发 ,有 关 信 息 安 全 产品 评估 标准 的 制定 也 相应 地 开展 起 来 。 

(1) 国外 信息 安全 产品 评估 标准 的 演变 

国际 上 信息 安全 产品 检测 评估 标准 的 发 展 大 体 上 经 历 了 三 个 阶段 ,如 图 1-6 所 示 。 
欧洲 信息 技术 
安全 评估 准则 
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Q@ 本 土 化 阶段 。1983 年 ,美国 国防 部 率先 推出 了 《可 信 计 算 机 安全 评估 准则 》 
(TCSEC) ,该 标准 事实 上 成 了 美国 国家 信息 安全 评估 标准 ,对 世界 各 国 也 产生 了 广泛 影 
响 。 在 1990 年 前 后 ,英国 、 德 国 、 加 拿 大 等 国 也 先后 制定 了 立足 于 本 国情 况 的 信息 安 
全 评估 标准 ,如 加 拿 大 的 《可 信 计 算 机 产品 评估 准则 》(CTCPEC) 等 。 在 欧洲 影响 下 , 美 
国 1991 年 制定 了 一 个 《联邦 评估 准则 》(FC) ,但 由 于 其 不 完备 性 ,未 能 推 开 。 

@ 多 国 化 阶段 。 由 于 信息 安全 评估 技术 的 复杂 性 和 信息 安全 产品 国际 市 场 的 逐渐 
形成 , 单 靠 一 个 国家 自行 制定 并 实行 自己 的 评估 标准 已 不 能 满足 国际 交流 的 要 求 ,于 是 多 
国共 同 制定 统一 的 信息 安全 产品 评估 标准 被 提 了 出 来 。 

1990 年 ,欧洲 英国 、 法 国 、 德 国 、 荷 兰 四 国 国防 部 门 信息 安全 机 构 率 先 联 合 制定 了 《 信 
息 技术 安全 评估 准则 》(ITSEC) ,并 在 事实 上 成 为 欧盟 各 国 使 用 的 共同 评估 标准 。 这 为 多 
国共 同 制定 信息 安全 标准 开 了 先河 。 为 了 紧 紧 把 握 信息 安全 产品 技术 与 市 场 的 主导 权 ， 
美国 在 欧洲 四 国 出 台 ITSEC 之 后 ,立即 倡议 欧美 六 国 七 方 ( 即 英国 ,法国 、 德 国 \ 荷 兰 、 加 
拿 大 五 国 国防 信息 安全 机 构 , 加 上 美国 国防 部 国家 安全 局 (NSA) 和 美国 商务 部 国家 标准 
与 技术 局 (NIST)) 共 同 制定 一 个 供 欧美 各 国 通用 的 信息 安全 评估 标准 。1993 年 至 1996 
年 ,经 过 四 五 年 的 研究 开发 ,产生 了 《信息 技术 安全 通用 评估 准则 》, 简 称 CC 标准 。 

@ 国际 化 阶段 。 为 了 适应 经 济 全 球 化 的 形势 要 求 , 在 CC 标准 制定 出 不 久 , 六 国 七 
方 即 推动 国际 标准 化 组 织 (ISO) 将 CC 标准 纳入 国际 标准 体系 。 经 过 多 年 协商 和 切磋 , 国 
际 标准 组 织 于 1999 年 批准 CC 标准 以 ISO/IEC 15408 一 1999 名 称 正式 列 人 国际 标准 
系列 。 

(2) 国外 信息 安全 产品 及 评估 标准 的 分 类 ,分 级 

@ 分 类 。 

美 . 俄 两 大 集团 在 信息 安全 产品 的 开发 与 评估 中 都 实行 了 分 类 、 分 级 原则 。 

以 美国 为 例 ,从 20 世纪 50 年 代 迄 今 , 几 经 演变 ,目前 信息 安全 产品 大 体 上 分 为 两 部 
分 .六 大 类 。 

两 部 分 即 政府 (国防 ) 专 用 安全 产品 (GOTS) 和 商用 安全 产品 (COTS)。 六 大 类 分 别 
为 电磁 (发射) 安全 (EMSEC 或 TEMPEST) 产 品 、 通 信安 全 (COMSEC) 产品、 密码 
(CRYPT) 产 品 \ 信 息 技术 安全 (ITSEC) 产 品 、 安 全 检测 (SEC INSPECTION) 产 品 、 其 他 
专用 安全 产品 。 与 此 相关 的 技术 测评 标准 也 大 体 上 按 此 分 类 制定 。 例 如 ,电磁 安全 标准 
是 一 个 包括 20 多 个 具体 标准 的 标准 系列 。 其 他 类 别 也 都 包括 一 系列 标准 。 

@ 分 级 。 

在 分 类 的 基础 上 , 美 、 俄 等 国 对 每 一 类 产品 中 的 每 一 具体 产品 又 采取 了 分 级 ,以 便 用 
户 按 安全 需求 ,选择 相应 的 产品 。 美 国 1991 年 将 TEMPEST 产品 分 为 3 级 : 第 1 级 用 于 
最 高 级 的 防护 ,第 2 级 用 于 中 级 防护 ,第 3 级 用 于 初级 防护 。 美 国 的 密码 产品 也 分 为 多 个 
等 级 ,其 中 允许 出 口 的 密码 产品 ,如 数据 加 密 标 准 (DES) 产 品 ,在 20 世纪 90 年 代 , 其 密 钥 
长 度 为 64 位 以 上 的 用 于 美国 国内 ,64 位 的 仅 可 出 口 盟国 ,而 对 中 国 仅 允许 出 口 40 位 的 
密码 。 美 国 的 《可 信 计 算 机 安全 评估 准则 》(TCSEC) 将 计算 机 安全 产品 分 为 4 等 (A、B、 
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CDy7 DCLC2 Bi .BABE AD: 

欧洲 英国 、 法 国 、 德 国 ,荷兰 四 国 制定 的 《信息 技术 安全 评估 准则 》(ITSEC) ,继承 并 发 
展 了 TCSEC, 不 仅 保留 了 安全 功能 (F) 等 级 ,并 且 对 评估 保证 (E) 等 级 进行 了 划分 。 

美国 ,英国 、 法 国 、 德 国 , 荷 兰 、 加 拿 大 六 国 制定 的 CC 标准 将 评估 保证 级 (EAL) 划 分 
为 1~7 级 。 

(3) TCSEC ITSEC 和 CC 标准 一 脉 相 承 ,各 有 长 短 

TCSEC 主要 规范 了 计算 机 操作 系统 和 主机 的 安全 要 求 ,侧重 于 对 保密 性 的 要 求 。 该 
标准 至 今 对 评估 计算 机 安全 仍 具 有 现实 意义 。ITSEC 将 信息 安全 由 计算 机 扩展 到 更 广 
的 实用 系统 ,增强 了 对 完整 性 、 可 用 性 的 要 求 ,发 展 了 评估 保证 概念 。CC 基于 风险 管理 
理论 ,对 安全 模型 .安全 概念 和 安全 功能 进行 了 全 面 、 系 统 的 描述 ,强化 了 评估 保证 。 它 们 
之 间 的 关系 如 表 1-2 所 示 。 


表 1-2 TCSEC ITSEC 和 CC 标准 分 级 大 体 对 应 关系 


























美国 TCSEC 欧洲 ITSEC CC 标准 
D: 最 小 保护 E0 
EAL1- 功 能 测试 
Cl: 自主 安全 保护 El EAL2- 结 构 测试 
C2: 控制 访问 保护 EAL3 -方法 测试 和 检验 
Bl1: 标识 安全 保护 F3 E3 EAL4- 方 法 设计 ,测试 和 评审 
B2: 结构 保护 F4 E4 EAL5- 半 形式 化 设计 和 测试 
B3: 安全 域 F5 E5 EAL6- 半 形式 化 验证 设计 和 测试 
Al: 验证 设计 F5 E6 EAL7- 形 式 化 验证 设计 和 测试 








2 我 国信 息 安全 产品 (系统 ) 评 估 标 准 现状 

我 国 从 20 世纪 90 年 代 中 期 即 开 始 制定 关于 信息 安全 产品 的 标准 ,2000 年 开始 有 
计划 地 研究 制定 信息 安全 评估 标准 。 经 国家 标准 化 管理 委员 会 批准 ,全 国信 息 安全 标 
准 化 技术 委员 会 (简称 信息 安全 标 委 会 ,TC260) 于 2002 年 4 月 15 日 在 北京 正式 成 立 。 
信息 安全 标 委 会 是 在 信息 安全 技术 专业 领域 内 ,从 事 信息 安全 标准 化 工作 的 技术 工作 
组 织 ,负责 组 织 开 展 国内 与 信息 安全 有 关 的 标准 化 技术 工作 ,主要 工作 范围 包括 安全 
技术 .安全 机 制 、. 安 全 服务 、 安 全 管理 .安全 评估 等 领域 的 标准 化 技术 工作 。2014 年 2 
月 ,信息 安全 标 委 会 发 布 (信息 安全 国家 标准 目录 V2. 0 版)。 截 至 2017 年 5 月 ,信息 
安全 标 委 会 已 发 布 国家 标准 170 余 件 。 信 息 安 全 标 委 会 将 信息 安全 国家 标准 分 为 7 个 
大 类 ,分 别 为 基础 类 标准 、 技 术 与 机 制 类 标准 、 信 息 安全 管理 标准 、 信 息 安全 测评 标准 、 
通信 和 安全 标准 、 密 码 技术 标准 、 保 密 技术 标准 。 其 中 部 分 主要 信息 安全 相关 标准 如 
表 1-3 所 示 。 
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表 1-3 我 国 部 分 主要 信息 安全 相关 标准 
































分 类 | 项 目 标准 名 称 标 准 号 说 明 
了 站 给 出 了 与 信息 安全 技术 领域 相关 的 概念 
基 | 人 | 信息 安全 技术 术语 |GB/T 25069 一 2010 | 的 术语 和 定义 ,并 明确 了 这 些 条 目 之 间 
到 Wal 的 关系 
标 信息 技术 ”开放 系统 互 描述 了 一 套 作为 所 有 安全 服务 基础 的 框 
准 | 框架 | 连 目录 第 8 部 分 :|GB/T 16264.8 一 2005 | 架 ,并 规定 了 在 鉴别 及 其 他 服务 方面 的 
公 钥 和 属性 证 书 框架 安全 要 求 
信息 技术 安全 技术 
规定 了 对 有 限 长 消息 使 用 公开 密 钥 体 制 
| GB 15851 一 1995 的 带 消息 恢复 的 数字 签名 方案 
信息 技术 ”安全 技术 
描述 了 带 附 录 的 数字 签名 的 基本 原则 和 
带 附录 的 数字 签名 第 | GB/T 17902 1 1999 | 要 求 以 及 该 系列 标准 通用 的 定义 和 符号 
1 部 分 : 概述 
途 互 
eA GB/Z 19717 一 2005 网 全 全 全 和 上 你 作 和 用 入 “于 
文 交换 网 邮件 扩展 (MIME) 数 据 的 基本 方法 
信息 技术 ”安全 技术 
， 下 规定 了 采用 安全 技术 的 实体 鉴别 机 制 的 
第 1 部 分 : | GB/T 15843. 1 一 2008 鉴别 模型 及 一 般 要 求 和 限制 
信息 技术 ”安全 技术 
标 | 实体 鉴别 第 2 部 分 : - 规定 了 采用 对 称 加 密 算法 的 实体 鉴别 
对 | 识 | 采用 对 称 加 密 算法 的 GB/T 15843. 2 一 2008 机 制 
术 | 机 制 
与 鉴 
机 | 别 | 信息 技术 ”安全 技术 
制 实体 鉴别 ”第 3 部 分 : 规定 了 采用 非 对 称 签名 技术 的 实体 鉴别 
旦 采用 数字 签名 技术 的 |SB/T 15843. 3 一 2008 | 机制 
准 机 制 
信息 技术 ”安全 技术 
实体 鉴别 第 4 部 分 : 规定 了 采用 密码 校 验 函 数 的 实体 鉴别 
采用 密码 校 验 函数 的 GB/T 15843. 4 一 2008 机 制 





机 制 





信息 技术 ”安全 技术 
实体 鉴别 第 5 部 分 : 
使 用 零 知 识 技术 的 机 制 


GB/T 15843. 5 一 2005 


规定 了 采用 零 知 识 技术 的 实体 鉴别 机 制 





信息 技术 安全 技术 

消息 鉴别 码 第 1 部 
分 : 采用 分 组 密码 的 
机 制 


GB/T 15852. 1 一 2008 


规定 了 一 种 使 用 密 钥 和 n 比特 块 密码 算 
法 计算 m 比特 码 校 验 值 的 方法 








信息 技术 ”安全 技术 
带 附 录 的 数字 签名 第 
2 部 分 : 基于 身份 的 机 制 





GB/T 17902. 2—2005 





规定 了 任意 长 度 消息 的 带 附录 的 基于 身 
份 的 数字 签名 机 制 的 签名 和 验证 过 程 的 
总 的 结构 和 基本 过 程 
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续 表 
分 类 | 项 目 标准 名 称 标 准 号 说 明 
信息 技术 ”安全 技术 。 
带 附录 的 数字 签名 第 |GB/T 17902.3 一 2005 | 宙 逢 生生 生生 人 
3 部 分 : 基于 证 书 的 机 制 
信息 安全 技术 “引入 可 a , 
_ | 信 第 三 方 的 实体 鉴别 及 | GB/T 28455 一 2012 et 
桥接 入 架构 规范 
与 定义 了 一 系列 遵从 XML 编码 格式 的 关 
| 和 是 人 个 le 于 安全 断言 的 语法 、 语 义 规范 、 系 统 实体 
别 | 授权 安全 断言 标记 | GB/T 29242 一 2012 Se 
语言 间 传 递 和 处 理 SAML 断言 的 协议 集合 与 
一 SAML 系统 管理 相关 的 处 理 规则 
信息 安全 技术 ”数字 证 规定 了 数字 证 书 代理 认证 路 径 构造 和 代 
书 代理 认证 路 径 构造 和 |GB/T 29243 一 2012 ”| 理 验证 两 种 服务 的 概念 和 协议 要 求 ,以 
代理 验证 规范 及 满足 协议 要 求 的 代理 服务 协议 
描述 了 基于 密码 技术 提供 证 据 的 抗 抵赖 
pa ep G/T 0 42008| 本科 的 一 种 模型 ;并 且 指 巡 了 了 如何 使 用 
概述 . - 对 称 或 非 对 称 密码 技术 生成 密码 校 验 值 
并 以 此 形成 证 据 
描述 了 可 用 于 抗 抵赖 服务 的 通用 结构 ,以 
技 信息 技术 ”安全 技术 
术 i 及 能 用 来 提供 原 发 抗 抵赖 (NRO) ,交付 抗 
与 ingle A 抵赖 (NRD) ,提交 抗 抵赖 (NRS) 和 传输 抗 
抵赖 (NRT) 等 有 关 的 特殊 通信 机 制 
信息 技术 安全 我 术 规定 了 使 用 非 对 称 技术 提供 与 通信 有 关 
准 抗 抵赖 ”第 3 部 分 : 采 |GB/T 17903. 3 一 2008 的 特殊 抗 抵赖 服务 的 机 制 
用 非 对 称 技术 的 机 制 
信息 技术 安全 技术 
授 规定 了 一 种 无 须 请 求证 书 撤销 列表 
公 i 线 证 | GB/T 19713 一 2 
权 | 会 负 基 友 设施 在线 证 GB/T 73 05 | (CRL 即 可 查询 数字 证 书 状态 的 机 制 
访 书 状态 协议 
问 | 信息 技术 安全 技术 描述 了 公 钥 基础 设施 (PKI) 中 的 证 书 管 
辣 公 钥 基础 设施 ”证 书 管 | GB/T 19714 一 2005 “| 理 协 议 , 定 义 了 与 证 书 产 生 和 管理 相关 
理 协 议 的 各 方面 所 需要 的 协议 消息 
信息 技术 ”安全 技术 
公 钥 基础 设施 PKI 组 |GB/T 19771 一 2005 ”| 支持 大 规模 公 钥 基础 设施 的 互 操作 性 
件 最 小 互 操作 规范 
信息 安全 技术 ” 公 钥 基 规定 了 中 国 数字 证 书 的 基本 结构 ,并 对 
础 设施 ”数字 证 书 格式 | “ ”2 15 “009 | 数字 证 书 中 的 各 数据 项 内 容 进行 了 描述 
信息 安全 技术 ” 公 钥 基 
规定 了 特定 权限 管理 中 心 架构 、 系 统 相 
础 设施 ”特定 权限 管理 |GB/T 20519 一 2006 二 . 
中 心 技术 规范 关 协 议 、 各 种 证 书 的 发 布 模式 等 
信息 安全 技术 “ 公 钥 基 规定 了 时 间 惟 系统 部 件 的 组 成 ,时间 戳 








础 设施 ”时 间 戳 规范 





GB/T 20520 一 2006 





的 管理 ` 时 间 戳 的 格式 和 时 间 惟 系统 安 
全 管理 等 方面 的 要 求 
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续 表 
分 类 | 项 目 标准 名 称 标 准 号 说 明 
信息 安全 技术 ” 公 钥 基 对 PKI 系统 安全 保护 进行 等 级 划分 , 规 
础 设施 ”PKI 系统 安全 | GB/T 21053 一 2007 ”| 定 了 不 同等 级 PKI 系统 所 需要 满足 的 评 
等 级 保护 技术 要 求 估 内 容 
信息 安全 技术 ” 公 钥 基 
础 设施 ”PKI 系统 安全 |GB/T 21054 一 2007 pe PKI 系统 所 需要 的 安全 
等 级 保护 评估 准则 
信息 安全 技术 ” 公 钥 基 i 
础 设施 安全 支撑 平台 技 | GB/T 25055 一 2010 gi 
台 的 技术 框架 
术 框架 
信息 安全 技术 ” 公 钥 基 规定 了 电子 签名 卡 的 基本 命令 报 文 和 相 
础 设施 ”电子 签名 卡 应 |GB/T 25057 一 2010 ”| 应 的 响应 报 文 ,以 及 电子 签名 卡 的 文件 
用 接口 基本 要 求 组 织 结构 
信息 安全 技术 ” 公 钥 基 、 本 
础 设施 ”简易 在 线 证 书 | GB/T 25059 一 2010 we 各 抽 肌 站 晤 下 宙 必 生生 
状态 协议 
信息 安全 技术 ” 公 钥 基 pe 
础 设施 X. 509 数字 证 | GB/T 25060 一 2010 Se 归于 书 放 
技 书 应 用 接口 规范 
术 | 授 | 信息 安全 技术 公 钥 基 示 
与 2 础 设施 XML 数字 签 | GB/T 25061 一 2010 ee XML 数字 签名 的 语 
前 访 | 名 语法 与 处 理 规范 
类 | 吉 | 信息 安全 技术 ”鉴别 与 
示 | 控 规定 了 基于 角色 的 访问 控制 (RBAC) 模 
标 i 区 
准 制 | 授权 基于 角色 的 访问 | GB/T 25062 一 2010 型 .RBAC 系统 和 管理 功能 规范 





控制 模型 与 管理 规范 





信息 安全 技术 ” 公 钥 基 
础 设施 ”电子 签名 格式 
规范 


GB/T 25064 一 2010 


定义 了 电子 签名 与 验证 的 主要 参与 方 、 
电子 签名 的 类 型 .验证 和 仲裁 要 求 





信息 安全 技术 ” 公 钥 基 





础 设施 签名 生成 应 用 | GB/T 25065 一 2010 rd 
程序 的 安全 要 求 

定义 了 证 书 策略 (CP) 和 认证 业务 声明 
EE 八 
pst eben GB/T 26855 一 2011 | (CES) 的 概念 ,解释 一 者 之 问 的 区 别 ,并 
证 业务 声明 框架 规定 了 CP 和 CPS 应 共同 遵守 的 文档 标 


题 框架 





信息 安全 技术 ”电子 认 


规定 了 电子 认证 服务 机 构 在 业务 运营 、 认 
证 系统 运行 ,物理 环境 与 设施 安全 、 组 织 与 








| 人 员 管 理 ,文档 \ 记 录 、 介 质 管理 .业务 连续 
性 .审计 与 改进 等 多 方面 应 遵循 的 要 求 
信息 安全 技术 公 钥 革 


础 设施 ” 桥 CA 体系 证 
书 分 级 规范 





GB/T 29767 一 2013 





规定 了 桥 CA 体系 证 书 安全 等 级 划分 
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续 表 
分 类 | 项 目 标准 名 称 标 准 号 说 明 
信息 安全 技术 ” 公 钥 基 
规定 了 电子 签名 卡 的 测试 环境 ,测试 内 
础 设施 ”电子 签名 卡 应 | GB/T 30274 一 2013 3 
用 接口 测试 规范 容 ,测试 方法 ,以 及 预期 测试 结果 
信息 安全 技术 ”鉴别 与 规范 了 认证 中 间 件 体系 框架 组件 、 功 能 
授权 ”认证 中 间 件 框架 |GB/T 30275 一 2013 ”| 及 通用 接口 ,并 给 出 了 认证 中 间 件 的 工 
与 接口 规范 作 流 程 
信息 安全 技术 ” 公 钥 基 
与 y 、| > 示 识 
访 | 础 设施 ”电子 认证 机 构 |GB/T 30277 一 2013 oN 
风 | 标识 编码 规范 l 
制 | 信息 安全 技术 ”鉴别 与 给 出 了 XACML 策略 语言 的 一 种 扩展 ， 
授权 ”地理 空 间 可 扩展 |GB/T 30280 一 2013 ”| 使 其 可 以 支持 对 地 理 信 息 访问 权限 约束 
访问 控制 置 标语 言 的 申明 和 执行 
信息 安全 技术 ”鉴别 与 规定 了 可 扩展 访问 控制 标记 语言 
与 授权 可 扩展 访问 控制 | GB/T 30281 一 2013 ”| (XACML) 的 数据 流 模 型 .语言 模型 和 
外 | | 标记 语言 语法 
和 物理 
准 | 安全 | 信息 安全 技术 “信息 系 GB/T 21052—2007 规定 了 按照 计算 机 信息 系统 物理 安全 等 
技术 | 统 物理 安全 技术 要 求 级 划分 所 需 的 检验 试验 的 技术 要 求 
标准 
信息 安全 技术 ”可 信 计 
算 规范 ”可 信 平 台 主 板 | GB/T 29827 一 2013 规定 了 可 信 平 台 主板 的 组 成 结构 ` 信 任 
链 构建 流程 .功能 接口 
功能 接口 
可 、 规定 了 可 信 连 接 架 构 的 层次 实体 、 部 
人 pe GB/T 29828 一 2013 ”| 件 \ 接 口 、 实 现 流 程 \ 评 估 、 隔 离 和 修补 以 
算 及 各 个 接口 的 具体 实现 
描述 了 可 信 计 算 密码 支撑 平台 功能 原理 
信息 安全 技术 ”可 信 计 
与 要 求 ,并 详细 定义 了 可 信 计 算 密码 支 
ea GB/T 29829 一 2013 排 平台 的 密码 算法 密 钥 管理 .证 书 管 
理 、 密 码 协议 、 密 码 服 务 等 应 用 接口 规范 
计算 机 信息 系统 ”安全 规定 了 计算 机 信息 系统 安全 保护 能 力 的 
保护 等 级 划分 准则 | “1539 1999。 | 5 个 等 级 
信 信息 技术 ”信息 技术 安 
管 全 管理 指南 第 1 部 | GB/T 19715.1_2005 | 提出 了 基本 的 管理 概念 和 模型 ,将 这 些 
全 | 理 | 分 : 信息 技术 安全 概念 概念 和 模型 引入 IT 安全 管理 是 必要 的 
管 | 基 | 和 模型 
理 | 础 
标 信息 技术 ”信息 技术 安 
准 全 管理 指南 第 2 部 提出 了 IT 安全 管理 的 一 些 基本 专题 以 








分 : 管理 和 规划 信息 技 
术 安 全 





GB/T 19715. 2 一 2005 





及 这 些 专 题 之 间 的 关系 
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续 表 
分 类 | 项 目 标准 名 称 标 准 号 说 明 
信息 技术 ”安全 技术 从 组 织 的 整体 业务 风险 的 角度 ,为 建立 、 
信息 安全 管理 体系 GB/T 22080 一 2008 ”| 实施 .运行 监视. 评审、 保持 和 改进 文件 
要 求 化 的 信息 安全 管理 体系 (ISMS) 提 出 要 求 
信息 技术 安全 技术 | cb/T zz081_2008 | 对 信息 安全 管理 给 出 建议 , 供 负责 在 其 
信息 安全 管理 实用 规则 中 组 织 启动 .实施 或 维护 安全 的 人 员 使 用 
信息 技术 ”安全 技术 对 实施 信息 安全 管理 体系 (以 下 简称 
信息 安全 管理 体系 审核 | GB/T 25067 一 2010 ”| ISMS) 审 核 和 认证 的 机 构 提 出 要 求 并 提 
认证 机 构 的 要 求 供 指南 
信息 安全 技术 ”信息 系 规定 了 信息 系统 安全 所 需要 的 各 个 安全 
管 | 统 安全 管理 要 求 GB/T 20269 ”2006 | 等 级 的 管理 要 求 
为 信息 安全 管理 体系 的 审核 原则 、 审 核 
要 全 
素 信和 全 大生 二 全 生生 | GB/T 28450 一 2012 方案 管理 和 审核 实施 提供 了 指导 ,并 对 
审核 员 的 能 力 及 其 评价 提供 了 指导 
信息 安全 技术 ”信息 系 规定 了 对 信息 系统 进行 安全 管理 评估 的 
统 安全 管理 评估 要 求 。 | GB/T 28453 ”2012 | 原则 和 模式 ,组织 和 活动 .方法 和 实施 
信息 安全 技术 ”政府 部 规定 了 政府 部 门 信息 安全 管理 基本 要 
门 信息 安全 管理 基本 |GB/T 29245 一 2012 | 求 ,用 于 指导 各 级 政府 部 门 的 信息 安全 
信 要 求 管理 工作 
盟 信息 技术 ”安全 技术 轩 
安 pp tah ed 
和 述 和 词汇 
标 提出 了 风险 评估 的 基本 概念 要素 关系 、 
准 信息 安全 技术 “信息 安 分 析 原 理 、 实 施 流程 和 评估 方法 ,以 及 风 





六 区 六 冰山 于 


GB/T 20984 一 2007 

















全 风险 评估 规范 险 评估 在 信息 系统 生命 周期 不 同 阶段 的 

实施 要 点 和 工作 形式 
信息 技术 ”安全 技术 
信息 安全 计件 管理 并 南 CB/Z 20985 一 2007 | 描述 了 信息 安全 事件 的 管理 过 和 
信息 安全 技术 “信息 安 
全 事件 分 类 分 级 指南 。 | GB/Z 20986 一 2007 | 为 信息 安全 事件 的 分 类 分 级 所 供 指导 
信息 安全 技术 信息 系统 规定 了 信息 系统 灾难 恢复 应 遵循 的 基本 
灾难 恢复 规范 GB/T 20988 一 2007 要 求 
信息 安全 技术 ”基于 互 - 
联网 电子 政务 信息 安全 | GB/Z 24294 一 2009 ee i 
实施 指南 4 

规定 了 编制 信息 安全 应 急 响 应 计划 的 前 
信息 安全 技术 “信息 安 

es ,确立 了 信 应 急 响 应 证 

全 届 生 太 放 划 规 自 |GB/T 24363 一 2009 | 期 准备 ,确立 了 信息 安全 应 急 响应 计划 


文档 的 基本 要 素 、 内 容 要 求 和 格式 规范 








信息 安全 技术 ”信息 安 
全 风险 管理 指南 





GB/Z 24364 一 2009 





规定 了 信息 安全 风险 管理 的 内 容 和 过 
程 ,为 信息 系统 生命 周期 不 同 阶段 的 信 
息 安 全 风险 管理 提供 指导 





入 












































信息 安全 技术 pm 
续 表 
分 类 | 项 目 标准 名 称 标 准 号 说 明 
信息 技术 ”安全 技术 
IT 网络 安全 第 3 部 规定 了 各 种 安全 网 关 技术 .组 件 和 各 种 
GB/T .3 一 
分 : 使 用 安全 网 关 的 网 | 2 T 25058 3 2010 | 类 理 的 安全 网 关 体系 结构 
间 通 信安 全 保护 
信息 技术 安全 技术 
IT 网 络 安全 第 4 部 分 :| GB/T 25068. 4 一 2010 | 规定 了 安全 使 用 远程 接 人 的 安全 指南 
远程 接 入 的 安全 保护 
管 Re 规定 了 使 用 虚拟 专用 网 (VPN) 连 接 到 互 
用 GB/T 25068. 5—201 bD 远 多 
分 , 使 用 虚拟 专用 网 的 /T 250 010 re 
跨 网 通信 安全 保护 
术 | 信息 技术 安全 技术 规定 了 网 络 和 通信 安全 方面 的 指导 , 包 
IT 网 络 安全 第 1 部 |GB/T 25068. 1 一 2012 | 括 信息 系统 网 络 自身 的 互联 以 及 将 远程 
分 : 网 络 安全 管理 用 户 连接 到 网 络 
信息 技术 ”安全 技术 
IT 网 络 安全 第 2 部 |GB/T 25068.2 一 2012 人 汪汪 
分 : 网 络 安全 体系 结构 
信息 技术 ”安全 技术 
位 人 侵 检 测 系 统 的 选择 、|GB/T 28454 一 2012 “| 给 出 了 帮助 组 织 准备 部 署 IDS 的 指南 
妆 部 署 和 操作 
管 信息 安全 技术 “信息 系 二 
再 统 安全 工程 管理 要 求 GB/T 20282 一 2006 ”| 规定 了 信息 系统 安全 工程 的 管理 要 求 
信息 安全 技术 ”信息 系统 规定 了 不 同安 全 保护 等 级 信息 系统 的 基 
准 区 
安全 等 级 保护 基本 要 求 。 | GB/T 22239 “2008 | 本 保护 要 求 
信息 安全 技术 ”信息 系 
统 安全 等 级 保护 定 级 |GB/T 22240_2008 | 规定 了 信息 系统 安全 等 级 保护 的 定 级 
方法 
指南 
程 | 信息 安全 技术 “信息 系 
与 | 统 安全 等 级 保护 实施 |GB/T 25058_2010 规定 了 信息 系统 安全 等 级 保护 实施 的 
服 过 程 
务 | 指南 
管 | 信息 安全 技术 “信息 系 i 
悍 | 统 等 级 保护 安全 设计 技 | GB/T 25070 一 2010 ea Dinh 
术 要 求 
信息 安全 技术 ”信息 安 规定 了 信息 安全 服务 定义 、 信 息 安全 服 
全 服务 分 类 GB/T 30283 一 2013 务 基本 类 别 
信息 安全 技术 ”灾难 恢 ee 
复 中 心 建设 与 运 维 管理 | GB/T 30285 一 2013 规定 了 灾 吕 恢复 中 心 建设 与 运 千 的 管理 
过 程 
规范 
个 人 | 信息 安全 技术 公共 及 a a 
信息 | 商用 服务 信息 系统 个 人 | GB/Z 28828 一 2012 pl 
保护 | 信息 保护 指南 
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me 第 1 章 信息 安全 概述 
续 表 
分 类 | 项 目 标准 名 称 标 准 号 说 明 
计算 机 信息 系统 “安全 规定 了 计算 机 信息 系统 安全 保护 能 力 的 
保护 等 级 划分 准则 | 1 859 1999 |5 个 等 级 
信息 技术 “安全 技术 
信息 技术 安全 评估 准则 定义 了 两 种 结构 以 表述 IT 安全 功能 和 
第 1 部 分 , 简介 和 一 般 GB/T 18336. 1 一 2015 保证 要 求 
模型 
ee 等 同 采用 国际 标准 (信息 技术 安全 技术 
GB/T 18336. 2 一 2015 | 信息 技术 安全 性 评估 准则 第 2 部 分 : 
第 2 部 分 : 安全 功能 
安全 功能 要 求 ) 
组 件 
ea 等 同 采用 国际 标准 (信息 技术 安全 技术 
GB/T 18336. 3 一 2015 | 信息 技术 安全 性 评估 准则 ”第 3 部 分 ， 
则 第 3 部 分 : 安全 保 a 
证 要 求 
信息 安全 技术 “信息 系 
统 安全 保障 评估 框架 给 出 了 信息 系统 安全 保障 的 基本 概念 和 
第 1 部 分 : 简介 和 一 般 | SB/T 20274 1 2006 | 模型 ,并 建立 了 信息 系统 安全 保障 框架 
模型 
信 
建立 了 信息 系统 安全 技术 保障 的 框架 ， 
咏 信息 安全 技术 “信息 系 
安 | 测 2 | 确立 了 组 织 机 构 内 的 启动 实施、 维护 、 
傅 | 时 | 第 和 仆人 和 全 | 9 0 9 和 0 评估 和 改进 信息 安全 技术 体系 的 指南 和 
评 | 机 通用 原则 
人 建立 了 信息 系统 安全 技术 保障 的 框架 ， 
统 安全 保障 评估 框架 ”| GB/T 20274. 3 一 2008 郁 半 本 弓 积 机 构 内 的 居 动 洋 厄 、 维 拆 
ti . 评估 和 改进 信息 安全 技术 体系 的 指南 和 
: 通用 原则 
信息 安全 乒 术 信息 和 eee tt 
ep SB/T 202 人 全 008 | 评估 和 改进 信息 安全 技术 体系 的 指南 和 
通用 原则 
信息 安全 技术 “保护 轮 描述 保护 轮廓 (PP) 与 安全 目标 (ST) 中 的 
廓 和 安全 目标 的 产生 |GB/Z 20283 一 2006 ”| 内容 及 其 各 部 分 内 容 之 间 的 相互 关系 的 
指南 详细 指南 
信息 安全 技术 “信息 系 规定 了 对 实现 的 信息 系统 是 否 符合 GB/T 
统 安全 等 级 保护 测评 | GB/T 28448 一 2012 |22239 一 2008 所 进行 的 测试 评估 活动 的 
要 求 要 求 
信息 安全 技术 “信息 系 - 
统 安全 等 级 保护 测评 过 | GB/T 28449 一 2012 规定 了 信息 系统 安全 等 级 保护 测评 工作 
a 的 测评 过 程 











信息 安全 技术 ”安全 漏 
洞 标识 与 描述 规范 





GB/T 28458 一 2012 





规定 了 计算 机 信息 系统 安全 漏洞 的 标识 
与 描述 规范 
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信息 安全 技术 ”Eeesssss 
续 表 
分 类 [项 目标 准 名 称 标 准 号 说 明 
信息 技术 安全 技术 
: 描述 了 评估 者 应 执行 的 最 小 行为 集 , 是 
Wi 技术 安全 性 评估 |GB/T 30270 一 2013 ISO/IEC 15408 的 配套 标准 
信息 安全 技术 ”信息 安 定义 了 服务 过 程 模型 和 信息 安全 服务 商 
全 服务 能 力 评估 准则 |“ 30271 “2013 | 的 服务 能 力 的 评估 准则 
信息 安全 技术 ”信息 安 规定 了 信息 安全 漏洞 的 管理 要 求 ,涉及 
全 漏洞 管理 规范 GB/T 302762013 | 漏洞 的 发 现 \ 利 用 、 修 复 和 公开 等 环节 
信息 安全 技术 安全 汤 规定 了 信息 系统 安全 漏洞 (简称 漏洞 的 
洞 等 级 划分 指南 GB/T 30279 2013 | 等 级 划分 要 素 和 危害 程度 级 别 
信息 安全 技术 “信息 系 
测 统 保护 轮廓 和 信息 系统 |GB/Z 30286 一 2013 pat esd 
让 | 安全 目标 产生 指南 | 
础 | 信息 技术 ”安全 技术 
信息 技术 安全 保障 杠 按照 一 般 生 存 周 期 模型 ,介绍 交付 件 的 
架 第 1 部 分 : 综述 和 | SB/Z 29830. 1 “2013 | 安全 保障 方法 、 联 系 及 其 分 类 
框架 
信息 技术 ”安全 技术 收集 了 一 些 保障 方法 "概括 了 这 些 方法 
信息 技术 安全 保障 框架 | GB/Z 29830. 2 一 2013 | 的 目标 ,描述 了 它们 的 特征 以 及 引用 文 
信 | 。 | 第 2 部 分 , 保障 方法 件 和 标准 等 
委 ti 可 使 用 户 把 特定 保障 需求 和 /或 典型 保 
测 第 3 部 分 ， 保障 方 | GB/Z 29830.3 一 2013 | 障 情 况 与 一 些 可 用 保障 方法 所 提供 的 一 
标 般 性 表现 特征 相 匹配 
由 法 分 析 








毅 莹 如 六 


信息 安全 技术 ”路 由 器 


GB/T 18018 一 2007 


分 等 级 规定 了 路 由 器 的 安全 功能 、 要 求 


























安全 技术 要 求 和 安全 保证 要 求 

下 
全 保护 等 级 划分 所 需要 的 评估 内 容 

信息 安全 技术 “入侵 检 规定 了 入 侵 检测 系统 的 技术 要 求 和 测评 


测 系统 技术 要 求 和 测试 
评价 方法 





GB/T 20275 一 2006 





方法 ,并 提出 了 入 侵 检测 系统 的 分 级 要 求 
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续 表 
分 类 | 项 目 | 。 标准 名 称 标 准 号 说 明 
信息 安全 技术 智能 卡 
规定 了 EAL4 增强 级 的 智能 卡 嵌 入 式 软 
嵌入 式 软件 安全 技术 要 | GB/T 20276 一 2006 
ee 件 进行 安全 保护 所 需要 的 安全 技术 要 求 
信息 安全 靶 术 “网 络 有 规定 了 采用 传输 控制 协议 /网 际 协议 的 
弱 性 扫描 产品 技术 要 求 | SB T 20278 2006 | 网 络 脆弱 性 扫描 产品 的 技术 要 求 
信息 安全 技术 “网 络 用 规定 对 采用 传输 控制 协议 /网 际 协 议 
弱 性 扫描 产品 测试 评价 | GB/T 20280 一 2006 ”| (TCP/IP) 的 网 络 脆 弱 性 扫描 产品 的 测 
方法 试 .评价 方法 
信息 安全 技术 防火 堵 规定 采用 传输 控制 协议 /网 际 协议 CTCP/ 
技术 要 求 和 测试 评价 |GB/T 20281_2006 |IP) 的 防火 墙 类 信息 安全 产品 的 技术 要 求 
方法 和 测评 方法 
信息 安全 技术 “信息 系 和 
统 安全 审计 产品 技术 要 | GB/T 20945 一 2007 a tra 
求 和 测试 评价 方法 加 
信息 安全 技术 “虹膜 识 规定 了 用 虹膜 识别 技术 为 身份 鉴别 提供 
别 系统 技术 要 求 GB/T 2?0979 “2007 | 支持 的 虹膜 识别 系统 的 技术 要 求 
规定 了 服务 器 所 需要 的 安全 技术 要 求 ， 
全 四 安 二 于 本 :了 枯 男 帮 GB/T 21028 一 2007 | 以 及 每 一 个 安全 保护 等 级 的 不 同安 全 技 
信 安全 技术 要 求 
信 要 求 
安 | 产 | 信息 安全 技术 “网 络 交 
全 | 虽 | 扫 机 委 全 半 术 要 素 ( 评 | GB zi0s0_2007 条 了 由 实 扩 机 EALS 人 的 安 全 桂林 
评 | 评 | 估 保 证 级 3) 
信息 安全 技术 “具有 中 








央 处 理 器 的 集成 电路 规定 了 对 具有 中 央 处 理 器 的 集成 电路 
(IC) 卡 芯片 安全 技术 要 | GB/T 22186 一 2008 ”| (IC) 卡 芯片 达到 EAL4 增强 级 所 要 求 的 
求 ( 评 估 保 证 级 4 增 安全 功能 要 求 及 安全 保证 要 求 

强 级 ) 

信息 安全 技术 “服务 器 GB/T 25063 一 2010 “| 规定 了 服务 器 安全 的 测评 要 求 


安全 测评 要 求 





信息 安全 技术 ”信息 安 
全 产品 类 别 与 代码 


GB/T 25066 一 2010 


规定 了 信息 安全 产品 的 主要 类 别 与 代码 





信息 安全 技术 ”网络 型 
入 侵 防 御 产品 技术 要 求 
和 测试 评价 方法 


GB/T 28451 一 2012 


规定 了 网 络 型 人 侵 防御 产品 的 功能 要 
求 .产品 自身 安全 要 求 和 产品 保证 要 求 ， 
并 提出 了 入 侵 防 御 产品 的 分 级 要 求 





IPSec 协议 应 用 测试 
规范 


GB/T 28456 一 2012 


对 IPSec 协议 应 用 的 测试 内 容 及 测试 步 
又 进行 了 规范 





规定 了 SSL 协议 应 用 的 测试 内 容 和 基本 








SSL 协议 应 用 测试 规范 | GB/T 28457 一 2012 测试 步骤 
信息 安全 技术 ”终端 计 
算 机 通用 安全 技术 要 求 | GB/T 29240 一 2012 


与 测试 评价 方法 
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信息 安全 技术 
续 表 
分 类 | 项 目 标准 名 称 标 准 号 说 明 
信息 安全 技术 “办 公设 规定 了 办 公设 备 安全 技术 要 求 和 安全 管 
备 基本 安全 要 求 GB/T 29244 一 2012 理 功能 要 求 
信息 安全 技术 ”网 站 数 
据 恢复 产品 技术 要 求 与 | GB/T 29766 一 2013 se te tt 
测试 评价 方法 
信息 安全 技术 ”数据 备 
份 与 恢复 产品 技术 要 求 |GB/T 29765 一 2013 ”| 规定 了 数据 备份 与 恢复 产品 的 技术 要 求 
与 测试 评价 方法 0 
信息 安全 技术 ” 公 钥 甘 ， 
| oo 
评价 指南 
提出 了 政务 计算 机 终端 核心 配置 的 基本 
产 人 GB/T 30278 一 2013 概念 和 要 求 ,规定 了 核心 配置 的 自动 化 
号 实现 方法 ,规范 了 核心 配置 实施 流程 
评 规定 了 网 络 脆弱 性 扫描 产品 的 安全 功能 
信息 安全 技术 “网 络 脆 
和 要 求 .自身 安 全 要 求 和 安全 保证 要 求 ,并 
Pale GB/T 20278 一 2013 根据 安全 技术 要 求 的 不 同 对 网 络 脆弱 性 
扫描 产品 进行 了 分 级 
信 信息 安全 技术 ”信息 系 本 
外 统 安全 审计 产品 技术 要 |GB/T 20945 一 2013 ”| 规定 了 信息 系统 安全 审计 产品 的 技术 要 
人 I 求 和 测试 评价 方法 
评 信息 安全 技术 反 垃 圾 
二 邮件 产品 技术 要 求 和 测 | GB/T 30282 一 2013 ee 
试 评价 方法 
信息 安全 技术 移动 通 ee 
信 智能 终端 操作 系统 安 |GB/T 30284 一 2013 pipe 
全 技术 要 求 (EAL2 级 ) 
信息 安全 技术 “网 络 基 规定 了 各 个 安全 等 级 的 网 络 系统 所 需要 
础 安全 技术 要 求 SB 工 20270 2006 | 的 基础 安全 技术 要 求 
信息 安全 技术 “信息 系 规定 了 信息 系统 安全 所 需要 的 安全 技术 
统 通用 安全 技术 要 求 。 | GB/T ?0271 2006 | 的 各 个 安全 等 级 要 求 
规定 了 网 上 银行 系统 的 描述 \ 安 全 环境 、 
thie 安全 保障 目的 、 安 全 保障 要 求 及 网 上 银 
二 行 系统 信息 安全 保障 目的 和 安全 保障 要 
六 求 的 符合 性 声明 





信息 安全 技术 ”网 上 证 
券 交易 系统 信息 安全 保 


GB/T 20987 一 2007 


规定 了 网 上 证 券 交易 系统 的 描述 、 安 全 
环境 、 安 全 保障 目的 、 安 全 保障 要 求 及 网 














上 证 券 系统 信息 安全 保障 目的 和 安全 保 
l 
en 障 要 求 的 符合 性 声明 
信息 安全 技术 ”应 用 软件 GB/T 28452—2012 规定 了 对 应 用 软件 系统 进行 等 级 保护 所 
系统 通用 安全 技术 要 求 涉及 的 通用 安全 管理 要 求 
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me 第 1 齐 信息 安全 概述 
续 表 
分 类 | 项 目 标准 名 称 标 准 号 说 明 
信息 安全 技术 “ 公 钥 基 规定 了 PKI 系 统 和 PKI 应 用 的 5 个 互 操 
础 设施 ”PKI 互 操作 性 |GB/T 29241 一 2012 “| 作 能 力 等 级 ,完成 了 分 等 级 的 PKI 互 操 
从 评估 准则 作 性 评估 准则 
安 | 系 | 信息 安全 技术 信息 系 描述 了 评估 者 在 使 用 GB/T 20274 所 定 
会 | 俯 | 统 安全 保障 通用 评估 | GB/T 30273 一 2013 | 义 的 准则 进行 评估 时 需要 完成 的 评估 
评 | 评 | 指南 活动 
准 信息 安全 技术 “网 络 人 
侵 检测 系统 技术 要 求 和 | GB/T 20275 一 2013 oe asa 
测试 评价 方法 
通信 安 | 、，、、 区 规定 了 AH 协议 的 技术 要 求 ,包括 AH 协 
全 标准 IP 认证 头 (AH) GB/T 21643 一 2008 议 头 格式 .AH 协议 处 理 、 致 性 要 求 等 
信息 技术 “安全 技术 
规定 了 散 列 函数 , 它 可 用 于 提供 鉴别 、 完 
散 列 函 数 第 1 部 分 :|GB/T 18238. 1 一 2000 整 性 和 抗 抵赖 服务 
概述 
信息 技术 “安全 技术 
eS, | GB/T 18238.2—2002 规定 了 采用 位 块 密码 算法 的 散 列 函 数 
函数 
密码 技 | 信息 技术 “安全 技术 
二 wt 
术 标 准 | 所 列 函 数 第 3 部 分 ,| GByT 18238.3 一 2002 | 十 了 专用 可 画 数 ,专门 设 计 的 
专用 散 列 函数 
信息 安全 技术 ”分 组 密 描述 了 分 组 密码 算法 的 其 中 工作 模式 ， 
码 算法 的 工作 模式 。 | SB/T 17964 2008 | 以 便 规范 分 组 密码 的 使 用 
信息 安全 技术 “证 书 认 
规定 了 为 公众 服务 的 数字 证 书 认证 系统 
证 系统 密码 及 其 相关 安 | GB/T 25056 一 2010 a 上 2 
二 二 的 设计 建设. 检测 、 运 行 及 管理 规范 
电话 机 电磁 泄漏 发 射 限 | Vs) 1904 规定 了 电话 机 电磁 泄漏 辐射 发 射 、 传 导 
值 和 测试 方法 发 射 的 限 值 和 测试 方法 
使 用 现场 的 信息 设备 电 规定 了 使 用 现场 的 信息 设备 电磁 泄漏 加 
磁 泄漏 发 射 检查 测试 方 | BMB2 一 1998 射 发 射 、 传 导 发 射 检查 测试 方法 和 信息 
怕人 技 | 于 和 全 天 所 安全 判 据 
术 标准 | 处理 涉 密 信息 的 电磁 屏 规定 了 处 理 涉 密 信息 的 电磁 屏蔽 室 的 电 
蔽 室 的 技术 要 求 和 测试 | BMB3 一 1999 磁场 屏蔽 效能 要 求 , 传 导 泄漏 发 射 抑制 
方法 要 求 和 测试 方法 
规定 了 电磁 干扰 器 的 辐射 发 射 要 求 、 伟 
B2000 导 发 射 及 抑制 要 求 . 抗 视频 信息 还 原 性 











能 要 求 和 测试 方法 以 及 等 级 划分 





23 












































信息 安全 技术 ”Eeessssssssssa 
续 表 
分 类 | 项 目 标准 名 称 标 准 号 说 明 
sein et 规定 了 对 涉 密 信息 系统 的 设备 选用 、 合 
用 环境 和 工程 安装 等 防护 要 求 
密码 设备 电 夏 港 汤 发 射 Vp。 ai 规定 了 密码 设备 电场 辐射 发 射 .磁场 辐 
限 什 射 发 射 和 传导 发 射 限 值 以 及 等 级 划分 
- 规定 了 密码 设备 电场 辐射 发 射 .磁场 辐 
| BMB7 一 2001 射 发 射 和 传导 发 射 测试 方法 的 总 要 求 以 
及 红 黑 信号 识别 的 测试 方法 
- - 规定 了 电话 密码 机 电场 辐射 发 射 、 磁 场 
.1001 辐射 发 射 和 传导 发 射 测试 方法 以 及 红 黑 
信号 识别 方法 
规定 了 国家 保密 局 电磁 泄漏 发 射 防护 产 
国家 保密 局 电磁 泄漏 发 品 检测 中 心 及 其 分 中 心 的 检测 实验 室 在 
射 防护 产品 检测 实验 室 | BMB8 一 2004 组 织 管理 .技术 能 力 以 及 检测 人 员 、 检 测 
认可 要 求 场地 ,检测 设备 设施 配置 等 方面 应 达到 
的 认可 要 求 
涉及 国家 秘密 的 计算 机 规定 了 安全 隔离 计算 机 .安全 隔离 卡 及 
网 络 安全 隔离 设备 的 技 | BMB10 一 2004 安全 隔离 线路 选择 器 的 技术 要 求 和 测试 
保 术 要 求 和 测试 方法 方法 
密 涉及 国家 秘密 的 计算 机 规定 了 涉及 国家 秘密 的 计算 机 信息 系统 
歼 | 。 | 信息 系统 防火 墙 安全 技 | BMB11 一 2004 使 用 的 防火 墙 产品 或 系统 的 安全 技术 
村 术 要 求 要 求 
涉及 国家 秘密 的 计算 机 
信息 系统 漏洞 扫描 产品 | BMB12 一 2004 ee 
技术 要 求 
pid 规定 了 涉 密 信息 系统 内 使 用 的 网 络 型 和 
主机 型 入侵 检测 产品 的 技术 要 求 
技术 要 求 
查 和 评审 ,以 及 实验 室 的 管理 
涉及 国家 秘密 的 信息 系统 | 1。 2004 规定 了 涉 密 信息 系统 内 使 用 的 安全 审计 
安全 审计 产品 技术 要 求 产品 的 技术 要 求 
涉及 国家 秘密 的 信息 系 
人 安全 与 信息 六 扫 Bviple_zoot 。。 | 十 了 信息 系统 使 用 的 安全 与 
产品 技术 要 求 下 和 
涉及 国家 秘密 的 信息 系 | nn 规定 了 涉 密 信息 系统 的 等 级 划分 准则 和 
统 分 级 保护 技术 要 求 相应 等 级 的 安全 保密 技术 要 求 
规定 了 涉及 国家 秘密 的 信息 系统 新 建 、 
涉及 国家 秘密 的 信息 系 
统 工程 监理 规范 BMB18 一 2006 改建 和 扩建 过 程 中 工程 监理 的 工作 方法 














和 工作 内 容 
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ma 第 1 章 信息 安全 概述 
续 表 
分 类 [项 目标 准 名 称 标 准 号 说 明 
电磁 浊 沁 发射 习 蔽 机 醒 | nn 规定 了 电磁 泄漏 发 射 屏蔽 机 柜 技 术 要 求 
技术 要 求 和 测试 方法 和 测试 方法 
信息 设备 电磁 泄漏 发 身 规定 了 信息 设备 电磁 泄漏 辐射 发 射 传 
限 值 GGBB1 一 1999 导 发 射 的 限 值 
信息 设备 电 袜 港 汤 发射 规定 了 信息 设备 电磁 港 漏 辐射 发 射 . 传 
测试 方法 Ni 导 发 射 的 测试 方法 
涉及 国家 秘密 的 计算 机 | 00 规定 了 涉及 国家 秘密 的 计算 机 信息 系统 
信息 系统 保密 技术 要 求 的 安全 保密 技术 要 求 
人 规定 了 涉及 国家 秘密 的 计算 机 信息 系统 
安全 保密 方案 包括 的 主要 内 容 
设计 指南 
涉及 国家 秘密 的 计算 机 rn 
信息 系统 安全 保密 测评 | BMZ23 一 2001 Paetsch aa 
安全 保密 测评 准则 
人 指南 
Ss 
大 tet BMB9. 1 一 2007 人 
标 号 干扰 器 的 技术 要 求 和 测试 方法 
准 方法 
保密 会 议 室 移 动 通信 干 | yg 2 2007 规定 了 移动 通信 无 线 信号 干扰 器 在 保密 
扰 器 安装 使 用 指南 会 议 场所 的 安装 使 用 指南 
涉及 国家 秘密 的 信息 系 | An 规定 了 涉 密 信息 系统 分 级 保护 管理 过 
统 分 级 保护 管理 规范 程 .管理 要 求 和 管理 内 容 
涉及 国家 秘密 的 载体 销 规定 了 涉 密 载体 销毁 和 信息 消除 的 等 
毁 与 信息 消除 安全 保密 | BMB21 一 2007 级 ,实施 方法 ,技术 指标 以 及 相应 的 安全 
要 求 保密 管理 要 求 
规定 了 涉 密 信息 系统 分 级 保护 测评 工作 
涉及 国家 秘密 的 信息 系 A . 
政信 站 家 各 的 信息 么 BB22 一 2007 流程 .测评 内 容 . 测 评 方法 和 测评 结果 判 
定 准 则 
涉及 国家 秘密 的 信息 系 
统 分 级 保护 方案 设计 | BMB23 一 2008 规定 了 沙 密 信息 系统 分 级 保护 方案 应 包 
括 的 主要 内 容 
指南 
3 信息 安全 产品 评估 标准 的 展望 


展望 信息 安全 产品 评估 标准 的 发 展 可 以 看 到 , 随 着 世界 各 国 对 于 标准 的 地 位 和 作用 
的 日 益 重 视 , 信 息 安 全 评估 标准 多 国 化 .国际 化 成 为 大 势 所 趋 ; 国际 标准 化 组 织 将 进一步 
研究 改进 ISO/IEC 15408 标准 ,各 国 在 采用 国际 标准 的 同时 ,将 利用 TBT 等 有 关 条 款 ， 
保护 本 国 利益 ; 最 终 , 国 内、 国际 多 个 标准 并 存 将 成 为 普遍 现象 。 
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1.4 ”信息 安全 法 律 体系 





141 我 国信 息 安全 法 律 体系 


1 体系 结构 

(1) 法 律 体系 

我 国法 律 体 系 也 称 部 门 法 体系 ,是 指 我 国 的 全 部 现行 法 律 规范 ,按照 一 定 的 标准 和 原 
则 ,划分 为 不 同 的 法 律 部 门 而 形成 的 内 部 和 谐 一 臻 .有 机 联系 的 整体 。 法 律 体系 是 一 国 国 
内 法 构成 的 体系 ,不 包括 完整 意义 的 国际 法 ( 即 国际 公法 )。 

在 信息 安全 方面 ,我 国法 律 体系 中 对 信息 安全 保护 都 有 规定 。 例 如 ,宪法 第 四 十 条 规 
定 :“ 中 华人 民 共 和 国 公民 的 通信 自由 和 通信 秘密 受 法 律 的 保护 。 除 因 国 家 安全 或 者 追 
查 刑事 犯罪 的 需要 ,由 公安 机 关 或 者 检察 机 关 依 照 法 律 规定 的 程序 对 通信 进行 检查 外 , 任 
何 组 织 或 者 个 人 不 得 以 任何 理由 侵犯 公民 的 通信 自由 和 通信 秘密 。?" 刑 法 第 二 百 八 十 五 条 
规定 :“ 违 反 国家 规定 ,侵入 国家 事务 、 国 防 建设 、 尖 端 科学 技术 领域 的 计算 机 信息 系统 
的 ,处 三 年 以 下 有 期 徒刑 或 者 拘役 。” 

(2) 政策 体系 

政府 制定 相应 的 法 规 ,规章 及 规范 性 文件 ,强制 性 加 大 对 信息 安全 系统 保护 的 力度 。 

(3) 强制 性 技术 标准 

发 布 了 多 个 技术 标准 ,并 且 强 制 性 执行 ,如 《计算 机 信息 系统 安全 保护 等 级 划分 准则 》。 


2 信息 系统 安全 保护 法 律 规范 的 法 律 地 位 

(1) 信息 系统 安全 立法 的 必要 性 和 紧迫 性 

没有 信息 安全 ,就 没有 完全 意义 上 的 国家 安全 ,也 没有 真正 的 政治 安全 、 军 事 安 全 和 
经 济 安全 。 

在 综合 国力 竞争 十 分 激烈 国际 局 势 瞬 息 万 变 的 形势 下 ,一 个 国家 支配 信息 资源 能 力 
越 强 ,就 越 有 战略 主动 权 , 而 一 旦 丧失 了 对 信息 的 控制 权 和 保护 权 , 就 很 难 把 握 自 己 的 命 
运 , 就 没有 国家 主权 可 言 。 作 为 信息 战 的 战场 ,敌对 国家 之 间 、 地 区 之 间 、 竞 争 对 手 之 间 通 
过 网 络 攻 击 对 方 的 信息 系统 ,窃取 机 密 情报 、 实 施 破坏 。 信 息 安 全 的 保障 能 力 是 21 世纪 
综合 国力 、 经 济 竞争 实力 和 生存 发 展 能 力 的 重要 组 成 部 分 ,应 将 其 上 升 到 国家 和 民族 利益 
的 高 度 ,作为 一 项 基本 国策 加 以 重视 。 

(2) 信息 系统 安全 保护 法 律 规范 的 作用 

@ 指引 作用 : 是 指法 律 作为 一 种 行为 规范 ,为 人 们 提供 某 种 行为 模式 ,指引 人 们 可 
以 这 样 行为 ,必须 这 样 行为 或 不 得 这 样 行为 。 

@ 评价 作用 : 是 指法 律 具 有 判断 、 衡 量 他 人 行为 是 否 合法 或 违法 以 及 违法 性 质 和 程 
度 的 作用 。 

@ 预测 作用 : 是 指 当事人 可 以 根据 法 律 预先 估计 到 他 们 相互 将 如 何 行为 以 及 某 行 
为 在 法 律 上 的 后 果 。 
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@ 教育 作用 : 是 指 通过 法 律 的 实施 对 一 般 人 今后 的 行为 所 产生 的 影响 。 
@ 强制 作用 : 是 指法 律 对 违法 行为 人 具有 制裁 .惩罚 的 作用 。 


142 法 律 ,法规 介绍 


1 刑法 相关 内 容 

1997 年 刑法 中 增加 了 计算 机 犯罪 的 法 条 ,对 非法 侵入 重要 计算 机 信息 系统 以 及 违反 
《计算 机 信息 系统 安全 保护 条 例 ) 并 造成 严重 后 果 构 成 犯罪 的 ,依法 追究 其 刑事 责任 。 

我 国 刑法 关于 计算 机 犯罪 的 三 个 专门 条 款 , 分 别 规定 了 非法 侵入 计算 机 信息 系统 罪 ; 
破坏 计算 机 信息 系统 罪 ; 利用 计算 机 实施 金融 诈骗 ,盗窃 、 贪 污 、 挪 用 公款 、 窃 取 国 家 秘密 
或 者 其 他 犯罪 ,并 将 其 一 并 归 入 分 则 第 六 章 “ 妨 害 社会 管理 秩序 罪 ” 第 一 节 “ 扰 乱 公 共 秩 
序 罪 ”。 

刑法 有 关 网 络 犯罪 的 规定 ,总 体 上 可 以 分 为 两 大 类 : 一 类 是 纯粹 的 网 络 犯罪 , 即 刑法 
第 二 百 八 十 五 条 ,第 二 百 八 十 六 条 单列 的 两 种 网 络 犯罪 独立 罪名 ; 另 一 类 不 是 纯粹 的 网 
络 犯罪 ,而 是 隐 含 于 其 他 犯罪 罪名 中 的 网 络 犯罪 形式 ,例如 ,刑法 第 二 百 八 十 七 条 规定 : 
“利用 计算 机 实施 金融 诈骗 ,盗窃 贪污 、 挪 用 公款 、 窃 取 国家 秘密 或 者 其 他 犯罪 的 ,依照 本 
法 有 关 规 定 定罪 处 罚 ," 之 所 以 要 区 分 这 两 种 类 别 , 是 因为 第 二 类 犯罪 与 传统 犯罪 之 间 并 
无 本 质 区 别 ,只 是 在 犯罪 工具 的 使 用 上 有 所 不 同 而 已 ,因此 ,不 需要 为 其 单列 罪名 ;而 第 
一 类 犯罪 不 仅 在 具体 手段 和 侵犯 客体 方面 与 传统 犯罪 存在 差别 ,而 且 由 其 特殊 性 所 决定 ， 
传统 犯罪 各 罪名 已 无 法 包括 这 些 犯罪 形式 ,因此 为 其 单列 罪名 。 

2015 年 刑法 修正 案 ( 九 ) 加 强 了 对 公民 个 人 信息 的 保护 ,明确 网 络 服务 提供 者 履行 网 
络 安全 管理 的 义务 ,完善 网 络 犯罪 的 相关 规定 ,增加 编造 传播 虚假 信息 犯罪 的 规定 , 进 一 
步 解 决 举证 难 问题 。 例 如 ,将 刑法 第 二 百 五 十 三 条 之 一 修改 为 : “违反 国 家 有 关 规 定 , 向 
他 人 出 售 或 者 提供 公民 个 人 信息 ,情节 严重 的 ,处 三 年 以 下 有 期 徒刑 或 者 拘役 ,并 处 或 者 
单 处 罚金 ; 情节 特别 严重 的 ,处 三 年 以 上 七 年 以 下 有 期 徒刑 ,并 处 罚金 。 违 反 国 家 有 关 规 
定 , 将 在 履行 职责 或 者 提供 服务 过 程 中 获得 的 公民 个 人 信息 ,出 售 或 者 提供 给 他 人 的 , 依 
照 前 款 的 规定 从 重 处 罚 。 窃 取 或 者 以 其 他 方法 非法 获取 公民 个 人 信息 的 ,依照 第 一 款 的 
规定 处 罚 。 单 位 犯 前 三 款 罪 的 ,对 单位 判处 罚金 ,并 对 其 直接 负责 的 主管 人 员 和 其 他 直接 
责任 人 员 ,依照 各 该 款 的 规定 处 罚 。” 


2 治安 管理 处 罚 法 相关 内 容 

治安 管理 处 罚 法 中 第 二 十 九条 规定 :“ 有 下 列 行 为 之 一 的 ,处 五 日 以 下 拘留 ; 情节 较 
重 的 ,处 五 日 以 上 十 日 以 下 拘留 : 

(一 ) 违反 国家 规定 ,侵入 计算 机 信息 系统 ,造成 危害 的 ; 

(二 ) 违反 国家 规定 ,对 计算 机 信息 系统 功能 进行 删除 、 修 改 、 增 加 .干扰 ,造成 计算 机 
信息 系统 不 能 正常 运行 的 ; 

(三 ) 违反 国家 规定 ,对 计算 机 信息 系统 中 存储 、 处 理 、 传 输 的 数据 和 应 用 程序 进行 删 
除 .修改 、 增 加 的 ; 

(四 ) 故意 制作 ,传播 计算 机 病毒 等 破坏 性 程序 ,影响 计算 机 信息 系统 正常 运行 的 。” 
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3《 计 算 机 信息 系统 安全 保护 条 例 》 

1994 年 2 月 18 日 国务 院 发 布 7 了 《计算 机 信息 系统 安全 保护 条 例 》。 

(1) 条 例 的 宗旨 和 特点 

条 例 的 宗旨 是 为 了 保护 计算 机 信息 系统 的 安全 ,促进 计算 机 的 应 用 和 发 展 ,保障 社会 
主义 现代 化 建设 的 顺利 进行 。 

条 例 的 特点 是 重点 维护 国家 事务 ,经济 建设 .国防 建设 .尖端 科学 技术 等 重要 领域 的 
计算 机 信息 系统 的 安全 。 

(2) 条 例 的 适用 

条 例 适 用 于 任何 组 织 或 者 个 人 。 任 何 组 织 或 者 个 人 ,不 得 利用 计算 机 信息 系统 从 事 
危害 国家 利益 、 集 体 利益 和 公民 合法 利益 的 活动 ,不 得 危害 计算 机 信息 系统 的 安全 。 中 华 
人 民 共 和 国境 内 的 计算 机 信息 系统 的 安全 保护 ,适用 该 条 例 。 

(3) 条 例 的 主要 内 容 

@ 准确 标明 了 安全 保护 工作 的 性 质 。 保 障 计算 机 及 其 相关 的 和 配套 的 设备 .设施 
( 含 网 络 ) 的 安全 ,运行 环境 的 安全 ,保障 信息 的 安全 ,保障 计算 机 功能 的 正常 发 挥 ,以 维护 
计算 机 信息 系统 的 安全 运行 。 

@ 科学 界定 了 计算 机 信息 系统 的 概念 。 计 算 机 信息 系统 ,是 指 由 计算 机 及 其 相关 的 
和 配套 的 设备 ,设施 ( 含 网 络 ) 构 成 的 ,按照 一 定 的 应 用 目标 和 规则 对 信息 进行 采集 、 加 工 、 
存储 传输 ,检索 等 处 理 的 人 机 系统 。 

@ 系统 设置 了 安全 保护 的 制度 。 其 主要 体现 在 计算 机 信息 媒体 进出 境 申报 制 .计算 
机 信息 系统 安全 管理 负责 制 . 计 算 机 信息 系统 发 生 案件 时 的 报告 及 有 害 数据 的 防治 研究 
归口 管理 ,用 以 下 几 个 条 款 加 以 规范 。 第 十 二 条 规定 :“ 运 输 携带、 邮寄 计算 机 信息 媒体 
进出 境 的 ,应 当 如 实 向 海关 申报 。?” 第 十 三 条 规定 :“ 计 算 机 信息 系统 的 使 用 单位 应 当 建 立 
健全 安全 管理 制度 ,负责 本 单位 计算 机 信息 系统 的 安全 保护 工作 。.” 第 十 四 条 规定 :“ 对 计 
算 机 信息 系统 中 发 生 的 案件 ,有 关 使 用 单位 应 当 在 24 小 时 内 向 当地 县 级 以 上 人 民政 府 公 
安 机 关 报 告 。" 第 十 五 条 规定 :“ 对 计算 机 病毒 和 危害 社会 公共 安全 的 其 他 有 害 数 据 的 防 
治 研 究 工 作 , 由 公安 部 归口 管理 。” 

@ 明确 确定 了 安全 监督 的 职权 。 条 例 明确 确定 了 公安 机 关 安 全 监督 的 职权 ,主要 体 
现在 以 下 几 个 条 款 。 

第 十 七 条 规定 :“ 公 安 机关 对 计算 机 信息 系统 安全 保护 工作 行使 下 列 监督 职权 : 

(一 ) 监督 检查、 指导 计算 机 信息 系统 安全 保护 工作 ; 

(二 ) 查处 危害 计算 机 信息 系统 安全 的 违法 犯罪 案件 ; 

(三 ) 履行 计算 机 信息 系统 安全 保护 工作 的 其 他 监督 职责 。” 

第 十 八条 规定 :“ 公 安 机 关 发 现 影响 计算 机 信息 系统 安全 的 隐患 时 ,应 当 及 时 通知 使 
用 单位 采取 安全 保护 措施 。” 

@ 全 面 规定 了 违法 者 的 法 律 责 任 。 条 例 全 面 规 定 了 违法 者 的 法 律 责任 及 处 罚 规范 ， 
其 主要 体现 在 以 下 条 款 。 

第 二 十 条 规定 :“ 违 反 本 条 例 的 规定 ,有 下 列 行为 之 一 的 ,由 公安 机 关 处 以 警告 或 者 
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停机 整顿 

(一 ) 违反 计算 机 信息 系统 安全 等 级 保护 制度 ,危害 计算 机 信息 系统 安全 的 ; 

(二 ) 违反 计算 机 信息 系统 国际 联网 备案 制度 的 ; 

(三 ) 不 按照 规定 时 间 报 告 计算 机 信息 系统 中 发 生 的 案件 的 ; 

(四 ) 接 到 公安 机 关 要 求 改进 安全 状况 的 通知 后 ,在 限期 内 拒 不 改进 的 ; 

(五 ) 有 危害 计算 机 信息 系统 安全 的 其 他 行为 的 。” 

第 二 十 二 条 规定 :“ 运 输 ,携带 、 邮 和 寄 计算 机 信息 媒体 进出 境 , 不 如 实 向 海关 申报 的 ， 
由 海关 依照 《中华 人民 共 和 国 海关 法 》) 和 本 条 例 以 及 其 他 有 关 法 律 法规 的 规定 处 理 。” 

第 二 十 三 条 规定 :“ 故 意 输入 计算 机 病毒 以 及 其 他 有 害 数据 危害 计算 机 信息 系统 安 
全 的 ,或 者 未 经 许可 出 售 计算 机 信息 系统 安全 专用 产品 的 ,由 公安 机 关 处 以 警告 或 者 对 个 
人 处 以 5000 元 以 下 的 罚款 、 对 单位 处 以 15 000 元 以 下 的 罚款 ; 有 违法 所 得 的 , 除 予 以 没 
收 外 ,可 以 处 以 违法 所 得 1 至 3 倍 的 罚款 。” 

第 二 十 五 条 规定 :“ 任 何 组 织 或 者 个 人 违反 本 条 例 的 规定 ,给 国家 、 集 体 或 者 他 人 财 
产 造 成 损失 的 ,应 当 依 法 承担 民事 责任 。” 

@ 定义 了 计算 机 病毒 及 计算 机 信息 系统 安全 专用 产品 。 计 算 机 病毒 ,是 指 编制 或 者 
在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 毁坏 数据 ,影响 计算 机 使 用 ,并 能 自我 复制 的 
一 组 计算 机 指令 或 者 程序 代码 。 计 算 机 信息 系统 安全 专用 产品 ,是 指 用 于 保护 计算 机 信 
息 系 统 安全 的 专用 硬件 和 软件 产品 。 


4 全 国人 民 代表 大 会 常务 委员 会 (关于 维护 互联 网 安全 的 决定 》 

(1) 制定 决定 的 目的 

我 国 的 互联 网 ,在 国家 大 力 倡导 和 积极 推动 下 ,在 经 济 建设 和 各 项 事业 中 得 到 日 益 广 
泛 的 应 用 ,使 人 们 的 生产 \ 工 作 、 学 习 和 生活 方式 已 经 开始 并 将 继续 发 生 深 刻 的 变化 ,对 于 
加 快 我 国 国民 经 济 、 科 学 技术 的 发 展 和 社会 服务 信息 化 进程 具有 重要 作用 。 同 时 ,如 何 保 
障 互 联网 的 运行 安全 和 信息 安全 问题 已 经 引起 全 社会 的 普遍 关注 。 为 了 兴 利 除 弊 ,促进 
我 国 互联 网 的 健康 发 展 ,维护 国家 安全 和 社会 公共 利益 ,保护 个 人 法 人 和 其 他 组 织 的 合 
法 权益 ,2000 年 12 月 28 日 第 九 届 全 国人 民 代 表 大 会 常务 委员 会 第 十 九 次 会 议 通过 了 
《关于 维护 互联 网 安全 的 决定 》。 

(2) 界定 违法 犯罪 行为 

为 了 保障 互联 网 的 运行 安全 ,对 有 下 列 行为 之 一 ,构成 犯罪 的 ,依照 刑法 有 关 规 定 追 
究 刑 事 责 任 : 

QO@ 侵入 国家 事务 、 国 防 建设 .尖端 科学 技术 领域 的 计算 机 信息 系统 ; 

@ 故意 制作 ,传播 计算 机 病毒 等 破坏 性 程序 ,攻击 计算 机 系统 及 通信 和 网络 ,致使 计算 
机 系统 及 通信 网 络 遭 受 损害 ; 

@ 违反 国家 规定 ,擅自 中 断 计算 机 网 络 或 者 通信 服务 ,造成 计算 机 网 络 或 者 通信 系 
统 不 能 正常 运行 。 

为 了 维护 国家 安全 和 社会 稳定 ,对 有 下 列 行为 之 一 ,构成 犯罪 的 ,依照 刑法 有 关 规 定 
追究 刑事 责任 : 
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Q@ 利用 互联 网 造谣 .诽谤 或 者 发 表 、 传 播 其 他 有 害 信息 ,煽动 颠覆 国家 政权 、 推 翻 社 
会 主义 制度 ,或 者 煽动 分 裂 国家 、 破 坏 国 家 统一 ; 

@ 通过 互联 网 窃取 ,泄露 国 家 秘密 、 情 报 或 者 军事 秘密 ; 

@ 利用 互联 网 煽动 民族 仇恨 、 民 族 歧视 ,破坏 民族 团结 ; 

@ 利用 互联 网 组 织 那 教 组 织 .联络 邪教 组 织 成 员 ,破坏 国家 法 律 \ 行 政法 规 实施 。 

为 了 维护 社会 主义 市 场 经 济 秩 序 和 社会 管理 秩序 ,对 有 下 列 行 为 之 一 ,构成 犯罪 的 ， 
依照 刑法 有 关 规 定 追 究 刑事 责任 : 

Q@ 利用 互联 网 销售 伪劣 产品 或 者 对 商品 、 服 务 作 虚 假 宣传 ; 

@ 利用 互联 网 损害 他 人 商业 信誉 和 商品 声誉 ; 

@ 利用 互联 网 侵犯 他 人 知识 产权 ; 

@ 利用 互联 网 编造 并 传播 影响 证 券 .期 货 交易 或 者 其 他 扰乱 金融 秩序 的 虚假 信息 

@ 在 互联 网 上 建立 淫秽 网 站 、 网 页 ,提供 淫秽 站 点 链接 服务 ,或 者 传播 淫秽 书刊 . 影 
片 .音像 .图 片 。 

为 了 保护 个 人 .法 人 和 其 他 组 织 的 人 身 .财产 等 合法 权利 ,对 有 下 列 行为 之 一 ,构成 犯 
罪 的 ,依照 刑法 有 关 规 定 追 究 刑事 责任 : 

Q@ 利用 互联 网 侮辱 他 人 或 者 捏造 事实 诽谤 他 人 ; 

@ 非法 截获 . 算 改 、 删 除 他 人 电子 邮件 或 者 其 他 数据 资料 ,侵犯 公民 通信 自由 和 通信 
秘密 ; 

@ 利用 互联 网 进行 盗窃 .诈骗 .敲诈 勒索 。 

(3) 行动 指南 

利用 互联 网 实施 该 决定 第 一 条 、 第 二 条 、 第 三 条 、 第 四 条 所 列 行为 以 外 的 其 他 行为 , 构 
成 犯罪 的 ,依照 刑法 有 关 规 定 追 究 刑事 责任 。 

利用 互联 网 实施 违法 行为 ,违反 社会 治安 管理 , 尚 不 构成 犯罪 的 ,由 公安 机 关 依 照 
治安 管理 处 罚 法 予以 处 罚 ; 违反 其 他 法 律 . 行 政法 规 , 尚 不 构成 犯罪 的 ,由 有 关 行 政 管 
理 部 门 依法 给 予 行政 处 罚 ; 对 直接 负责 的 主管 人 员 和 其 他 直接 责任 人 员 ,依法 给 予 行 
政 处 分 或 者 纪律 处 分 。 利 用 互联 网 侵犯 他 人 合法 权益 ,构成 民事 侵权 的 ,依法 承担 民 
事 责任 。 

各 级 人 民政 府 及 有 关 部 门 要 采取 积极 措施 ,在 促进 互联 网 的 应 用 和 网 络 技术 的 普及 
过 程 中 ,重视 和 支持 对 网 络 安全 技术 的 研究 和 开发 ,增强 网 络 的 安全 防护 能 力 。 有 关 主 管 
部 门 要 加 强 对 互联 网 的 运行 安全 和 信息 安全 的 宣传 教育 ,依法 实施 有 效 的 监督 管理 ,防范 
和 制止 利用 互联 网 进行 的 各 种 违法 活动 ,为 互联 网 的 健康 发 展 创造 良好 的 社会 环境 。 从 
事 互联 网 业务 的 单位 要 依法 开展 活动 ,发 现 互联 网 上 出 现 违法 犯罪 行为 和 有 害 信 息 时 ,要 
采取 措施 ,停止 传输 有 害 信息 ,并 及 时 向 有 关机 关 报 告 。 任 何 单位 和 个 人 在 利用 互联 网 
时 ,都 要 遵 纪 守 法 ,抵制 各 种 违法 犯罪 行为 和 有 害 信息 。 人 民法 院 、 人 民 检 察 院 、 公 安 机 
关 、 国 家 安全 机 关 要 各 司 其 职 ,密切 配合 ,依法 严厉 打击 利用 互联 网 实施 的 各 种 犯罪 活动 。 
要 动员 全 社会 的 力量 ,依靠 全 社会 的 共同 努力 ,保障 互联 网 的 运行 安全 与 信息 安全 ,促进 
社会 主义 精神 文明 和 物质 文明 建设 。 
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5《 计 算 机 信息 网 络 国 际 联网 安全 保护 管理 办 法 》 

1997 年 12 月 11 日 经 国务 院 批准 ,1997 年 12 月 16 日 公安 部 发 布 了 《计算 机 信息 网 
络 国际 联网 安全 保护 管理 办 法 》。 

(1) 制定 办 法 的 重要 性 和 必要 性 

制定 办 法 的 重要 性 和 必要 性 在 于 加 强 对 计算 机 信息 网 络 国际 联网 的 安全 保护 ,维护 
公共 秩序 和 社会 稳定 。 

(2) 制定 办 法 的 指导 思想 

@ 体现 促进 发 展 的 原则 。 

@ 体现 保障 安全 的 原则 。 

@ 体现 严格 管理 的 原则 。 

@ 体现 与 国家 现行 法 律 体系 一 致 性 的 原则 。 

(3) 办 法 的 适用 范围 .调整 对 象 和 公安 机 关 职 责 

Q@ 办 法 的 适用 范围 : 中 华人 民 共 和 国境 内 的 计算 机 信息 网 络 国际 联网 安全 保护 
管理 。 

@ 办 法 的 调整 对 象 : 从 事 国际 联网 业务 的 单位 和 个 人 。 

G) 公安 机 关 职 责 : 公安 网 监 部 门 负责 计算 机 信息 网 络 国际 联网 的 安全 保护 管理 工 
作 。 公 安 网 监 部 门 应 当 保护 计算 机 信息 网 络 国际 联网 的 公共 安全 ,维护 从 事 国 际 联网 业 
务 的 单位 和 个 人 的 合法 权益 和 公众 利益 。 

(4) 安全 保护 责任 .义务 和 法 律 责任 

Q@ 安全 保护 责任 和 义务 。 从 事 国际 联 网 业务 的 单位 和 个 人 应 当 接受 公安 机 关 的 安 
全 监督 .检查 和 指导 ,如 实 向 公安 机 关 提 供 有 关 安 全 保护 的 信息 .资料 及 数据 文件 ,协助 公 
安 机 关 查 处 通过 国际 联网 的 计算 机 信息 网 络 的 违法 犯罪 行为 。 

@ 法 律 责任 。 违 反 法 律 \ 行 政法 规 ,. 有 该 办 法 第 五 条 、 第 六 条 所 列 行为 之 一 的 ,由 公 
安 机 关 给 予 警告 ,有 违法 所 得 的 ,没收 违法 所 得 ,对 个 人 可 以 并 处 五 千 元 以 下 的 罚款 ,对 单 
位 可 以 并 处 一 万 五 千 元 以 下 的 罚款 ; 情节 严重 的 ,并 可 以 给 予 六 个 月 以 内 停止 联网 .停机 
整顿 的 处 罚 , 必 要 时 可 以 建议 原 发 证 ,审批 机 构 吊 销 经 营 许 可 证 或 者 取消 联网 资格 ; 构成 
违反 治安 管理 行为 的 ,依照 治安 管理 处 罚 法 的 规定 处 罚 ; 构成 犯罪 的 ,依法 追究 刑事 责 
任 。 违 反 该 办 法 第 四 条 、 第 七 条 规定 的 ,依照 有 关 法 律 、 法 规 予 以 处 罚 。 


6《 互 联网 安全 保护 技术 措施 规定 》 

2005 年 11 月 23 日 公安 部 部 长 办 公会 议 通过 了 《互联 网 安全 保护 技术 措施 规定 》 以 
下 简称 《4 规定 》, 于 2005 年 12 月 13 日 正式 发 布 ,并 于 2006 年 3 月 1 日 起 施行 。 

《规定 ) 是 和 《计算 机 信息 网 络 国际 联网 安全 保护 管理 办 法 ) 配 套 的 一 部 部 门 规章 。 
《规定 》 从 保障 和 促进 我 国 互联 网 发 展 出 发 ,根据 (计算 机 信息 网 络 国际 联网 安全 保护 管理 
办 法 》 的 有 关 规 定 , 对 互联 网 服务 提供 者 和 联网 使 用 单位 落实 安全 保护 技术 措施 提出 了 明 
确 、 具 体 和 可 操作 性 的 要 求 , 保 证 了 安全 保护 技术 措施 的 科学 、 合 理 和 有 效 实施 ,有 利于 加 
强 和 规范 互联 网 安全 保护 工作 ,提高 互联 网 服务 提供 者 和 联网 使 用 单位 的 安全 防范 能 力 
和 水 平 ,预防 和 制止 网 上 违法 犯罪 活动 。 
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(1)《 规 定 ) 的 制定 背景 

随 着 我 国 互 联网 的 发 展 和 普及 ,互联 网 安全 问题 日 益 突显 。2005 年 上 半年 ,我 国 互 
联网 上 网 用 户 已 经 突破 1 亿 人 ,成 为 世界 上 第 二 大 互联 网 用 户 国 。 网 上 论坛 .电子 邮件 、 
网 上 短 消 息 、 网 络 游戏 .电子 商务 和 搜索 引擎 等 网 上 服务 已 经 成 为 人 们 工作 学 习 、 生 活 娱 
乐 的 重要 工具 ,互联 网 在 经 济 社会 发 展 中 的 作用 越 来 越 突 出 。 与 此 同时 ,互联 网 上 淫秽 色 
情 、 赌 博 等 有 害 信息 传播 .垃圾 电子 邮件 和 垃圾 短信 息 泛 滥 , 计 算 机 病毒 传播 和 网 络 攻 击 
破坏 频繁 发 生 , 网 上 违法 犯罪 活动 不 断 增多 ,严重 危害 了 上 网 用 户 的 合法 权益 和 互联 网 服 
务 提供 者 的 正常 运营 ,人 们 反映 强烈 ,对 我 国 互 联网 的 发 展 带 来 严重 的 负面 影响 。 据 统 
计 ,2000 年 我 国 互联 网 违法 犯罪 案件 有 2700 起 ,2004 年 达到 1. 4 万 起 ,并 且 还 保持 着 较 
快 的 增长 态势 。 网 上 淫秽 色情 、 赌 博 和 诈骗 活动 已 经 成 为 网 上 多 发 性 违法 犯罪 案件 ,2005 
年 公安 机 关 依 法 关闭 境内 淫秽 色情 和 赌博 网 站 1800 余 个 。2004 年 ,公安 机 关 的 调查 表 
明 , 每 年 我 国有 半数 以 上 的 联网 单位 发 生 各 种 信息 网 络 安全 事件 ,联网 单位 计算 机 病毒 的 
感染 率 持续 在 80% 以 上 的 较 高 水 平 。 同 时 ,我 国 已 经 成 为 国际 上 互联 网 垃圾 电子 邮件 接 
收 和 发 送 大 国 , 据 有 关 单 位 统计 ,国内 用 户 平均 每 天 收 到 的 垃圾 电子 邮件 达到 6000 余 
万 封 。 

有 效 防范 、 打 击 网 上 违法 犯罪 和 治理 各 种 有 害 垃圾 信息 ,需要 “ 打 防 结合 ”, 动 员 社 会 
各 界 力 量 开 展 综合 治理 。 截 至 2005 年 上 半年 ,我 国 在 防范 .打击 和 治理 工作 中 ,安全 技术 
保护 措施 滞后 和 不 落实 的 问题 比较 突出 。 我 国联 网 单位 防范 网 络 攻击 和 计算 机 病毒 传播 
的 安全 保护 技术 措施 使 用 率 低 , 大 部 分 安全 保护 技术 措施 的 使 用 率 低 于 25%; 同时 ,安全 
保护 技术 措施 缺乏 必要 的 管理 和 维护 ,一 些 措施 形同虚设 ,使 用 效果 很 不 理想 。2004 年 ， 
公安 机 关 侦办 的 一 起 “僵尸 网 络 ” 入 侵 案件 中 ,犯罪 嫌疑 人 利用 国内 联网 单位 安全 保护 技 
术 措 施 不 落实 的 漏洞 ,在 一 年 时 间 内 入 侵 并 控制 了 国内 6 万 余 台 联网 主机 ,造成 了 重大 经 
济 损失 。 此 外 , 因 安全 保护 技术 措施 不 落实 造成 的 用 户 资料 信息 和 账号 密码 泄露 等 案件 、 
事件 频繁 发 生 ,给 上 网 用 户 和 互联 网 服务 提供 者 造成 了 很 大 损失 ,也 严重 影响 了 电子 商务 
等 互联 网 应 用 服务 的 发 展 。 

落实 安全 保护 技术 措施 是 有 效 防 范 .打击 网 上 违法 犯罪 活动 和 治理 有 害 垃圾 信息 的 
重要 保障 。1997 年 经 国务 院 批准 、 公 安 部 发 布施 行 的 (计算 机 信息 网 络 国际 联网 安全 保 
护 管理 办 法 ) 第 十 条 明确 规定 ,互联 网 服务 提供 者 和 联网 使 用 单位 应 当 落 实 安全 保护 技术 
措施 ,保障 本 网 络 的 运行 安全 和 信息 安全 。 但 是 ,限于 当时 我 国 互联 网 发 展 和 应 用 水 平 较 
低 , 对 于 互联 网 安全 保护 技术 措施 缺乏 明确 .具体 的 规定 和 要 求 , 在 实践 中 难以 执行 和 落 
实 。 为 了 尽快 改变 互联 网 服务 提供 者 和 联网 单位 安全 保护 技术 措施 滞后 ,不 适应 当前 互 
联网 安全 保护 工作 要 求 的 现状 ,使 安全 保护 技术 措施 更 加 科学 、 合 理 . 有 效 ,公安 部 在 广泛 
征求 互联 网 服务 提供 者 、 联 网 单位 .相关 专家 和 政府 有 关 部 门 意见 的 基础 上 ,制定 、 发 布 了 
《互联 网 安全 保护 技术 措施 规定 》。 

(2)《 规 定 ) 的 主要 内 容 

《规定 ) 包 括 立 法 宗旨 、 适 用 范围 .互联 网 服务 提供 者 和 联网 使 用 单位 及 公安 机 关 的 法 
律 责任 、 安 全 保护 技术 措施 要 求 .措施 落实 与 监督 和 相关 名 词 术 语 解释 等 6 个 方面 的 内 
容 , 共 19 条 2000 余 字 ,主要 内 容 有 : 
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@ 明确 了 互联 网 安全 保护 技术 措施 ,是 指 保障 互联 网 网 络 安全 和 信息 安全 、 防 范 违 
法 犯罪 的 技术 设施 和 技术 方法 ,并 且 规 定 了 互联 网 安全 保护 技术 措施 负责 落实 的 责任 主 
体 是 互联 网 服务 提供 者 和 联网 使 用 单位 ,负责 实施 监督 管理 工作 的 责任 主体 是 各 级 公安 
机 关公 共 信 息 网 络 安全 监察 部 门 。 

@ 强调 了 互联 网 服务 提供 者 和 联网 使 用 单位 要 建立 安全 保护 技术 措施 管理 制度 , 保 
障 安全 保护 技术 措施 的 实施 不 得 侵犯 用 户 的 通信 自由 和 通信 秘密 ,除法 律 和 行政 法 规 规 
定 外 ,任何 单位 和 个 人 未 经 用 户 同 意 不 得 泄露 和 公开 用 户 注册 信息 。 

@ 规定 了 互联 网 服务 提供 者 和 联网 使 用 单位 应 当 落 实 的 基本 安全 保护 技术 措施 ,并 
分 别针 对 互联 网 接 入 服务 单位 、 互 联网 信息 服务 单位 、 互 联网 数据 中 心服 务 单位 和 互联 网 
上 网 服务 单位 规定 了 各 自 应 当 落实 的 安全 保护 技术 措施 。 安 全 保护 技术 措施 主要 包括 防 
范 计算 机 病毒 .防范 网 络 人 侵 攻击 和 防范 有 害 垃圾 信息 传播 ,以 及 系统 运行 和 用 户 上 网 登 
录 时 间 和 网 络 地 址 记录 留存 等 。 

@ 为 了 保证 安全 保护 技术 措施 的 科学 合理 和 统一 规范 ,规定 安全 保护 技术 措施 应 当 
符合 国家 标准 ,没有 国家 标准 的 应 当 符合 公共 安全 行业 标准 。 为 了 及 时 发 现 报警 和 预警 
防范 网 上 计算 机 病毒 .网 络 攻击 和 有 害 信息 传播 ,规定 了 安全 保护 技术 措施 应 当 具有 符合 
公共 安全 行业 技术 标准 的 联网 接口 。 

@ 为 保证 安全 保护 技术 措施 的 正常 运行 ,规定 明确 了 互联 网 服务 提供 者 和 联网 单位 
不 得 实施 故意 破坏 安全 保护 技术 措施 擅自 改变 措施 功能 和 擅自 删除 、 自 改 措施 运行 记录 
等 行为 。 同 时 ,《 规 定 ) 作 为 (计算 机 信息 网 络 国际 联网 安全 保护 管理 办 法 ) 的 完善 和 补充 ， 
不 再 设立 新 的 罚 则 ,对 违反 《规定 》 的 行为 将 依照 (计算 机 信息 网 络 国际 联网 安全 保护 管理 
办 法 ) 第 二 十 一 条 的 规定 予以 处 罚 。 

@ 明确 了 公安 机 关 监 督 管理 责任 和 规范 了 公安 机 关 监 督 检查 行为 。《 规 定 》 明 确 公 
安 机 关 应 当 依法 对 辖区 内 互联 网 服务 提供 者 和 联网 使 用 单位 安全 保护 技术 措施 的 落实 情 
况 进 行 指导 ,监督 和 检查 。 同 时 规定 ,公安 机 关 在 依法 监督 检查 时 ,监督 检查 人 员 不 得 少 
于 两 人 ,并 应 当 出 示 执 法 身份 证 件 ,互联 网 服务 提供 者 、 联 网 使 用 单位 应 当 派 人 参加 。 


习题 1 








. 简 述 信息 安全 的 定义 。 

. 信息 安全 的 目标 是 什么 ? 

. 简 述 信息 安全 PDR 模型 。 

. 信息 安全 面临 的 主要 威胁 有 哪些 ? 


> co 性 
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ER 
信息 安全 与 密码 学 


本 章 首先 介绍 了 信息 安全 加 密 技 术 的 发 展 历史 ,在 对 密码 技术 有 了 感性 认识 的 基础 
上 ,介绍 了 密码 学 的 基本 概念 ,包括 密码 系统 的 组 成 、 密 码 体制 的 分 类 、 密 码 系统 的 安全 性 
以 及 密码 分 析 , 最 后 介绍 了 古典 密码 体制 中 一 些 有 代表 性 的 加 密 算法 。 


21 ”密码 技术 发 展 简介 





信息 安全 主要 包括 系统 安全 及 数据 安全 两 方面 的 内 容 。 系 统 安全 一 般 采 用 防火 墙 、 
病毒 查 杀 等 被 动 措施 ; 而 数据 安全 则 主要 是 指 采用 密码 技术 对 己方 信息 的 完整 性 、 保 密 
性 与 可 用 性 进行 主动 保护 。 所 以 说 ,密码 技术 是 保障 信息 安全 最 基本 、 最 核心 的 技术 ,是 
随 着 人 们 的 需求 .计算 机 通信 与 网 络 等 信息 技术 的 发 展 而 不 断 发 展 的 。 


211 古典 密码 技术 


近代 密码 技术 必须 在 计算 机 上 运行 ,而 人 类 使 用 密码 却 已 经 有 几 千 年 的 历史 ,使 用 密 
码 的 目的 ,就 是 不 让 敌 方 知道 信息 内 容 。 对 使 用 汉字 的 中 国人 而 言 ,很 早 就 有 妇女 们 所 使 
用 的 “ 女 书 ”, 对 于 不 该 知道 内 容 的 男人 而 言 , 这 就 是 一 种 密码 技术 。 而 西方 使 用 字母 文字 
的 民族 ,早期 的 密码 技术 主要 以 字母 的 代替 (Substitution) 以 及 字母 的 位 移 (Transposition ) 为 
主 , 有 时 也 用 混合 代码 法 代替 整个 单字 或 词组 。 

在 中 世纪 ,西方 学 者 致力 于 研究 可 兰 经 ,甚至 分 析 了 经 文 每 个 不 同 字 词 及 字母 的 出 现 
频率 ; 当时 西方 数学 与 语言 学 都 处 于 很 高 的 水 平 ,这 也 为 密码 分 析 学 (Cryptanalysis) 提 
供 了 可 能 的 环境 。 在 欧洲 还 处 于 黑暗 时 期 时 , 远 在 中 东 与 近东 的 人 们 早已 熟悉 用 频率 分 
析 破 译 的 单字 母 代 换 密码 。 简 单 的 单字 母 代 换 密码 在 频率 分 析 未 发 明之 前 如 同 无 字 天 
书 , 但 在 频率 分 析 破 译 法 产生 后 破译 起 来 就 易如反掌 了 。 

16 世纪 ,一 种 名 为 Vigenere 密码 的 多 字母 代 换 密码 诞生 了 ,这 在 当时 被 视 为 无 法 破 
译 的 密码 ,一 直到 19 世纪 才 被 破译 ,而 破译 的 方法 仍 是 以 频率 分 析 为 主 。 

在 这 个 时 期 ,破译 密码 的 技术 要 高 于 编译 密码 的 技术 。 第 一 次 世界 大 战 爆发 时 ,密码 
学 家 还 无 法 提供 高 明 的 密码 编译 方法 ,只 能 将 多 字母 代 换 与 移 位 结合 产生 密码 ,如 
Playfair 或 ADFGVX 被 勉强 使 用 , 那 时 .经常 出 现 “ 早 已 被 破译 的 ”进攻 作战 计划 。 但 在 
第 一 次 世界 大 战 末 期 , 却 发 明了 一 种 真正 无 法 破译 的 密码 : 一 次 一 密 密 码 (One-Time 
Pad) 。 在 冷战 时 期 , 美 苏 之 间 领 导 人 的 热线 就 使 用 了 这 种 密码 技术 。 然 而 此 类 密码 技术 
所 需 成 本 极 高 ,每 加 密 一 次 就 要 用 不 同 的 密 钥 ,这 在 军事 应 用 上 尤其 困难 , 故 无 法 大 量 
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使 用 。 

古典 密码 发 展 的 最 后 一 个 阶段 ,应 是 第 二 次 世界 大 战 前 后 所 使 用 的 滚轮 (Rotor 
Machine) 编码 。 最 著名 的 应 属 德国 采用 的 Enigma 密码 机 ,这 种 密码 机 拥有 如 同 天 文 数 
字 的 密 钥 数 量 ,这 是 无 法 用 传统 的 频率 分 析 法 破译 的 。 然 而 在 德国 发 动 战争 之 前 ， 
Enigma 密码 机 被 波兰 密码 分 析 师 成 功 破译 。 随 着 战争 的 爆发 ,德国 继续 加 强 他 们 的 密码 
机 ,这 项 破译 技术 也 适时 地 转移 到 英国 。 布 菜 奇 利 公园 (Bletchley Park) 作 为 昔日 英国 保 
守 最 好 的 秘密 ,是 第 二 次 世界 大 战 期 间 英国 的 密码 破译 中 心 所 在 地 ,一 群 天 才 数 学 家 , 包 
括 艾 伦 . 图 灵 (Alan Turing) 组 成 的 破译 小 组 ,继续 破译 德国 的 密码 机 。 他 们 借助 所 制造 
的 机 器 ,对 所 截获 的 密码 的 分 析 结 果 进 行 计算 对 比 ,而 这 种 用 来 协助 破译 密码 的 机 器 
Colossus ,就 是 计算 机 的 前 身 。 

常用 的 古典 密码 技术 有 恺 撤 密码 , 仿 射 密码 、 维 吉 尼 亚 密 码 ,福尔摩斯 密码 、Fairplay 
密码 .Hill 密码 以 及 Enigma 密码 机 等 。 在 2. 3 节 , 将 具体 讨论 一 些 有 代表 性 的 古典 密码 
体制 。 
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信息 技术 的 高 速 发 展 和 现代 数学 方法 的 出 现 为 密码 研究 者 提供 了 前 所 未 有 的 条 件 : 
一 方面 为 加 密 技术 提供 了 新 的 概念 和 工具 ,从 而 可 以 设计 出 更 加 复杂 和 更 为 高 效 的 密码 
系统 ; 另 一 方面 也 给 密码 破译 者 提供 了 有 力 的 武器 。 二 者 相互 促进 ,使 得 密码 技术 新 的 
理念 层出不穷 。 

1949 年 ,香农 (C. E. Shannon) 发 表 的 论文 (保密 系统 的 通信 理论 》(Communication 
Theory of Secrecy Systems) 标 志 着 现代 密码 学 的 真正 开始 。 在 这 篇 论文 中 ,香农 首次 将 
信息 论 引 入 密码 学 研究 中 ,他 利用 概率 统计 的 观点 和 信 的 概念 对 信息 源 、 密 钥 源 、 传 输 的 
密 文 和 密码 系统 的 安全 性 进行 了 数学 描述 和 定量 分 析 ,并 提出 了 对 称 密码 体制 的 模型 。 
香农 的 工作 为 现代 密码 编码 学 及 密码 分 析 学 奠定 了 坚实 的 理论 基础 ,使 密码 学 成 为 一 门 
真正 的 科学 。 

需要 指出 的 是 ,虽然 现代 密码 学 有 了 一 个 很 好 的 理论 框架 ,但 由 于 受 历 史 的 局 限 ,20 
世纪 70 年 代 中 期 以 前 的 密码 学 研究 基本 上 是 秘密 地 进行 的 ,而 且 主 要 应 用 于 军事 、 政 府 、 
外 交 等 重要 部 门 。 密 码 学 的 真正 蓬勃 发 展 和 广泛 应 用 是 从 20 世纪 70 年 代 中 期 开始 的 ， 
源 于 计算 机 网 络 的 普及 和 发 展 。1973 年 ,美国 的 国家 标准 局 (National Bureau of 
Standards,NBS) 认 识 到 建立 数据 加 密 标 准 的 迫切 性 ,开始 征集 联邦 数据 加 密 标准 。 很 多 
公司 着 手 这 项 工作 并 提交 了 建议 ,最 后 IBM 公司 的 Lucifer 加 密 系统 获得 了 胜利 。 经 过 
两 年 多 的 公开 讨论 之 后 ,1977 年 1 月 15 日 NBS 决定 使 用 这 个 算法 ,并 将 其 更 名 为 数据 
加 密 标 准 (Data Encryption Standards,DES)。 不久, 其 他 组 织 也 认可 并 采用 DES 作为 加 
密 算法 供 商业 和 非 国 防 性 政府 部 门 使 用 。DES 算法 的 公开 , 揭 开 了 密码 学 的 神秘 面纱 ， 
使 密码 学 研究 进入 了 一 个 靳 新 的 时 代 。1997 年 开始 征集 AES( 高 级 加 密 标准 ),2000 年 
选 定 比利时 人 设计 的 Rijndael 算法 作为 新 标准 。 数 据 加 密 标 准 (DES) 和 高 级 加 密 标准 
(CAES) 完 全 公开 了 加 密 、 解 密 算法 ,使 得 密码 学 得 以 在 商业 等 民用 领域 广泛 应 用 ,从 而 给 
密码 学 这 门 学 科 带 来 巨大 的 生命 力 ,使 其 得 到 了 迅速 发 展 。 
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1976 年 以 前 的 所 有 密码 系统 均 属于 对 称 密码 学 范畴 。 但 在 1976 年 , W. Diffie 和 
M.E. Hellman 在 刊物 IEEE Transactions on Information Theory 发 表 了 一 篇 著名 论文 
《密码 学 的 新 方向 》(New Directions in Cryptography), 在 这 篇 经 典 论文 中 二 人 提出 了 一 
个 锯 新 的 密码 设计 思想 ,不仅 加 密 算法 本 身 可 以 公开 ,甚至 加 密 用 的 密 钥 也 可 以 公开 ,这 
就 是 著名 的 公 钥 密码 体制 思想 。 这 种 新 的 密码 体制 可 以 将 加 密 密 钥 像 电话 短 一 样 公开 ， 
任何 用 户 向 其 他 用 户 传送 加 密 信息 时 ,可 以 从 这 本 密 钥 短 中 查 到 该 用 户 公 开 的 加 密 密 钥 ， 
用 它 来 加 密 ,而 接收 用 户 能 用 他 所 独 有 的 解密 密 钥 得 到 明文 ,任何 第 三 者 由 于 没有 解密 密 
钥 , 因 此 不 能 获得 明文 。 这 篇 经 典 论文 为 现代 密码 学 的 发 展开 辟 了 一 个 绒 新 的 思路 ,标志 
着 公 钥 密码 体制 的 诞生 。 公 钥 密 码 的 思想 给 密码 学 的 发 展 带 来 质 的 飞跃 ,开创 了 公 钥 密 
码 学 的 新 纪元 ,导致 了 密码 学 的 一 场 革命 ,可 以 说 “没有 公 钥 密码 体制 就 没有 现代 密 
码 学 ”。 

就 在 公 钥 密码 思想 提出 大 约 一 年 后 的 1978 年 ,美国 麻 省 理工 学 院 的 Rivest、Shamir 
和 Adleman 提出 RSA 公 钥 密码 体制 。 这 是 迄今 为 止 第 一 个 成 熟 的 .最 成 功 的 公 钥 密码 
体制 。 其 安全 性 是 基于 数论 中 的 大 整数 因子 分 解 , 该 问题 是 数论 中 的 困难 问题 ,至 今 没 有 
有 效 的 破解 算法 ,这 使 得 该 体制 具有 较 高 的 安全 性 。 此 后 不 久 , 人 们 又 相继 提出 了 
Rabin、ElGamal、Goldwasser-Micali 概率 公 钥 密码 ECC 和 NTRU 等 公 钥 密码 体制 。 

由 于 嵌入 式 系统 和 智能 卡 的 广泛 应 用 ,以 及 这 些 设备 系统 本 身 资 源 的 限制 ,要求 密码 
算法 以 较 少 的 资源 快速 实现 ,因此 ,公开 密 钥 算法 的 高 效 性 成 为 一 个 新 的 研究 热点 。 同 
时 ,由 于 近年 来 其 他 相关 学 科 的 进步 和 发 展 , 出 现 了 一 些 新 的 密码 技术 ,如 DNA 密码 混 
沌 密码 和 量子 密码 等 。 

由 此 可 看 到 ,现代 密码 学 的 特点 是 : 

Q@ 有 坚实 的 理论 基础 ,已 经 形成 一 门 新 的 学 科 。 

@ 对 密码 学 公开 地 研究 。 

@ 应 用 于 社会 各 个 方面 ,如 金融 、 商 业 等 行业 。 

@ 破译 密码 系统 归结 为 求解 数学 的 难 解 问题 。 

整个 密码 学 的 发 展 过 程 是 从 简单 到 复杂 、 从 不 完善 到 较为 完善 .从 具有 单一 功能 到 具 
有 多 种 功能 的 过 程 ,这 符合 历史 发 展 规律 和 人 类 对 客观 事物 的 认识 规律 ,而 且 也 可 以 看 出 
密码 学 的 发 展 受到 诸如 数学 、 计 算 机 科学 等 其 他 学 科 的 极 大 促进 。 这 说 明 在 科学 的 发 展 
进程 中 ,各 个 学 科 互 相 推 动 、 互 相 联 系 ,乃至 互相 渗透 ,其 结果 是 不 断 涌现 出 新 的 交叉 学 
科 , 从 而 达到 人 类 对 事物 更 深 的 认识 。 


2.2 ”密码 学 的 基本 概念 





人 们 日 常 广泛 应 用 的 存储 加 密 环节 是 密码 学 一 个 小 的 应 用 领域 。 严 格 来 说 ,密码 学 
主要 是 研究 信息 安全 保密 的 学 科 , 它 包括 两 个 分 支 : 密码 编码 学 和 密码 分 析 学 。 密 码 编 
码 学 主要 研究 对 信息 进行 变换 ,以 保护 信息 在 信道 的 传递 过 程 中 不 被 敌手 窃取 解读 和 利 
用 的 方法 ; 密码 分 析 学 则 与 密码 编码 学 相反 , 它 主要 研究 如 何 分 析 和 破译 密码 : 两 者 既 
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221 密码 系统 的 组 成 


密码 学 最 初 是 为 保密 的 目的 而 设置 的 。 通 信 双 方 通过 一 个 不 安全 的 信道 通信 , 若 A 
是 一 个 窃听 者 ,要 求 其 不 能 解密 所 截取 的 信息 。 例 如 ,这 个 传输 信道 可 以 是 电话 线 或 计算 
机 网 。B 想 送 给 C 的 消息 称 为 明文 (Plaintext) ,现实 世界 中 的 信息 可 以 是 任何 形式 ,如 
文本 、 声 音 、 视 频 等 ,明文 常常 是 指 这 些 信息 编码 后 的 数字 序列 。 例 如 ,在 一 些 古 典 密 
码 体制 中 ,26 个 英文 字母 常 被 抽象 为 0 一 25 的 整数 。B 用 预先 指定 的 密 钥 (Key) 加 密 
(Encryption) 明 文 , 得 到 相应 的 密 文 (Ciphertext) ,并 通过 信道 发 送 给 C。A 通过 搭 线 窃 
听 到 密 文 , 却 无 法 确定 明文 是 什么 。 但 接收 者 C 因 知 道 解密 密 钥 ,可 以 解密 密 文 并重 构 
明文 。 发 送 者 加 密 消 息 时 所 采用 的 一 组 规则 称 为 加 密 算 法 (Encryption Algorithm) 。 接 
收 者 对 密 文 解 密 时 所 采用 的 一 组 规则 称 为 解密 算法 (Decryption Algorithm) 。 加 密 算法 
和 解密 算法 的 操作 通常 是 在 一 组 密 钥 的 控制 下 进行 的 ,分 别称 为 加 密 密 钥 和 解密 密 钥 。 
加 密 变 换 与 解密 变换 可 以 统称 密码 变换 。 密 码 变换 一 般 是 复杂 的 非 线性 变换 ,这 是 因为 ， 
如 果 密 码 变换 是 线性 变换 ,那么 就 可 以 很 容易 地 用 已 知 明文 的 攻击 方式 解 方程 来 确定 密 
码 变 换 。 

从 数学 的 角度 来 讲 ,一 个 密码 系统 是 由 密码 方案 确定 的 一 簇 映 射 , 它 在 密 钥 的 控制 下 
将 明文 空间 中 的 每 一 个 元 素 映射 到 密 文 空间 上 的 某 个 元 素 ,具体 使 用 哪 一 个 映射 由 密 钥 
决定 。 这 里 需要 说 明 的 是 ,密码 学 中 术语 “系统 “体制 方案 "和 “算法 ”本 质 上 是 一 回 事 。 

一 个 密码 系统 (Cryptosystem) 可 以 用 一 个 五 元 组 二 {M.,C,K ,E,D}) 来 描述 。 

Q@ 明文 空间 M: 全 体 明文 的 集合 。 

@ 密 文 空间 C: 全 体 密 文 的 集合 。 

@ 密 钥 空间 K: 全 体 密 钥 的 集合 ,通常 每 个 密 钥 & 都 由 加 密 密 钥 &。 和 解密 密 钥 es 
组 成 ,= (eu),& 和 ka 可 能 相同 也 可 能 不 相同 。 

@ 加 密 算 法 已 : 由 加 密 密 钥 控制 的 加 密 变 换 的 集合 。 

@ 解密 算法 D: 由 解密 密 钥 控制 的 解密 变换 的 集合 。 

设 mE M 是 一 个 明文 ,二 (k,,ks) EK 是 一 个 密 钥 , 则 有 一 个 加 密 算 法 E EE 和 相 
应 的 解密 算法 Du ED, 使 得 E :MC 和 Du :CM 分 别 为 加 密 、 解 密 函 数 ,满足 : 

区 
一 DoSEM 

以 上 描述 说 明 : 如 果 一 个 明文 m 是 用 EE 加 密 的 , 且 得 到 相应 的 密 文 ,随后 只 要 用 
Du 解密 ,就 可 获得 起 初 的 明文 到 :也 就 是 说 ,E 和 Du 的 作用 相互 抵消 。 显 然 , 每 个 加 密 
函数 Ei 一 定 是 个 双 射 函数 ,否则 在 一 个 模棱两可 的 情况 下 ,解密 无 法 进行 。 

此 外 ,在 密码 系统 所 处 的 环境 中 除了 接收 者 外 ,还 有 非 授权 者 (或 称 攻击 者 ) ,他 们 通 
过 各 种 方法 进行 窃听 和 干扰 信息 ,包括 主动 攻击 和 被 动 攻击 两 种 手段 。 

@ 主动 攻击 指 非 授 权 者 采用 删除 、 更 改 、 增 添 、 重 放 , 伪 造 等 手段 主动 向 系统 注入 虚 
假 消 息 ; 

@ 被 动 攻击 指 非 授 权 者 采用 电磁 侦 听 、 声 音 窃听 、 搭 线 窃听 等 方法 直接 得 到 未 加 密 
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的 明文 或 加 密 后 的 密 文 。 
对 一 个 密码 系统 的 被 动 攻击 将 损害 明文 信息 的 机 密 性 , 即 需要 保密 的 明文 信息 遭 到 
泄露 ; 而 对 一 个 密码 系统 的 主动 攻击 将 损害 明文 信息 的 完整 性 , 即 通信 时 的 接收 方 所 接 
收 到 的 信息 与 发 送 方 所 发 送 的 信息 不 一 致 。 保 证 信息 机 密 性 的 方法 是 使 用 密码 算法 进行 
加 密 ; 而 保证 信息 完整 性 的 方法 是 使 用 鉴别 与 认证 机 制 ,数字 签名 与 散 列 函数 (鉴别 码 ) 
即 属于 鉴别 与 认证 机 制 ,这些 知识 点 会 在 后 面 章节 中 详细 阐述 。 
这 样 ,一 个 密码 系统 可 以 用 图 2-1 所 示 的 模型 完整 地 表示 出 来 。 
主动 攻击 (干扰 ) ”被 动 攻击 (监听 ) | 




































































非法 接 入 广 密码 分 析 
a | 加 密 变换 解密 变换 |_m 
明文 空间 c=Ex.(m) 密 文 c m=Dufc) [ak ] 
本 | 
密 钥 信道 一 
加 密 密 钥 k 三 -一 -一 一 一 这 | 解密 密 钥 k 














2-1 密码 系统 模型 图 


如 果 一 个 密码 系统 是 实用 的 , 它 将 满足 某 种 特性 。 下 面 列举 出 这 些 特性 中 的 两 个 。 

Q@ 每 个 加 密 函 数 E, 和 每 个 解密 函数 Di, 应当 能 有 效 地 被 计算 。 

@ 攻击 者 或 穷 听 者 即使 接收 到 密 文 C, 其 想 确 定 出 所 用 的 密 钥 k 或 明文 mx 也 是 不 可 
行 的 。 
上 述 第 一 个 特性 是 说 合法 用 户 应 当 很 “容易 ”地 使 用 系统 。 第 二 个 特性 以 非常 含糊 的 
方式 定义 了 “安全 ”的 想法 。 已 知 密 文 C 的 情况 下 试图 计算 密 钥 & 的 过 程 称 为 密码 分 析 
(Cryptanalysis) 。 注 意 ,如 果 发 送 者 能 决定 密 钥 上 , 则 他 能 和 接收 者 一 样 用 Du 解密 密 文 
C。 因 此 ,计算 密 钥 至 少 应 当 和 计算 密 文 C 一 样 困 难 。 这 里 的 “不 可 行 ? 指 的 是 “计算 上 
不 可 行 ”。 


222 密码 体制 的 分 类 


密码 体制 的 分 类 方法 有 很 多 ,常用 的 分 类 方法 有 如 下 几 种 。 

@ 根据 加 密 算法 与 解密 算法 所 使 用 的 密 钥 是 否 相 同 ,可 以 将 密码 体制 分 成 对 称 密码 
体制 (也 叫 单 钥 密码 体制 、 秘 密 密 钥 密 码 体 制 ) 和 非 对称 密 码 体制 (也 叫 双 钥 密码 体制 、 公 
开 密 钥 密码 体制 ) 。 

如 果 一 个 密码 系统 的 加 密 密 钥 & 和 解密 密 钥 As 相同 , 即 .二 a, 则 所 采用 的 就 是 对 
称 密 钥 密码 体制 。DES、AES、IDEA 等 都 是 对 称 密 钥 密码 体制 的 例子 ,此 外 所 有 的 古典 
密码 体制 也 都 是 单 钥 密 码 体制 。 使 用 对 称 密 钥 密码 体制 时 ,如 果 有 人 能力 加 密 ( 或 解密 ) 就 
意味 着 必然 有 能 力 解密 (或 加 密 )。 

如 果 一 个 密码 系统 把 加 密 和 人 解密 的 密 钥 分 开 , 即 & 和 夫人 ,并且 由 加 密 密 钥 &. 推导 出 
解密 密 钥 &s 是 计算 上 不 可 行 的 , 则 该 系统 所 采用 的 就 是 非 对 称 密码 体制 。 采 用 非 对 称 密 
码 体制 的 每 个 用 户 都 有 一 对 选 定 的 密 钥 ,其 中 一 个 是 可 以 公开 的 , 另 一 个 由 用 户 自 己 秘密 
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保存 。RSA、ElGamal ,椭圆 曲线 密码 等 都 是 非 对称 密 钥 密 码 体制 的 典型 代表 。 

对 称 密 钥 密码 体制 基于 复杂 的 非 线性 变换 实现 ; 非 对 称 密 钥 密码 体制 一 般 基 于 某 个 
数学 上 的 难题 实现 。 由 于 后 者 的 安全 程度 与 现实 的 计算 能 力 具有 密切 的 关系 ,因此 , 常 
常 认为 后 者 的 保密 强度 似乎 比 前 者 更 弱 , 但 后 者 也 具有 前 者 所 不 具备 的 一 些 特 性 , 它 
适应 于 开放 性 的 使 用 环境 , 密 钥 管理 问题 相对 简单 ,可 以 方便 、 安 全 地 实现 数字 签名 和 

@ 根据 密码 算法 对 明文 信息 的 处 理 方法 ,可 分 为 流 密码 和 分 组 密码 。 

流 密码 逐 位 或 逐 字 节 地 加 密 明文 消息 字符 ,也 称 序列 密码 ; 分 组 密码 将 明文 分 成 固 
定 长 度 的 组 ,用 同一 密 钥 和 算法 对 每 一 组 加 密 ,输出 也 是 固定 长 度 的 密 文 。 

@ 按照 是 否 能 进行 可 逆 的 加 密 变 换 , 又 可 分 为 单 向 函数 密码 体制 以 及 人 们 通常 所 指 
的 双向 变换 密码 体制 。 

单 向 函数 是 一 类 特殊 的 密码 体制 ,其 性 质 是 可 以 容易 地 把 明文 转换 成 密 文 , 但 再 把 密 
文 转换 成 原来 的 明文 却 是 困难 的 (有 时 甚至 是 不 可 能 的 )。 单 向 函数 只 适用 于 某 种 特殊 
的 .不 需要 解密 的 场合 (如 密 钥 管理 和 信息 完整 性 鉴别 技术 ), 以 及 双向 变换 密码 算法 中 某 
些 环节 ( 绝 大 多 数 情况 下 ,总 是 要 求 所 使 用 的 密码 算法 能 够 进行 可 逆 的 双向 加 解密 变换 ， 
否则 接收 者 就 无 法 把 密 文 还 原 成 明文 )。 典 型 的 单 向 函数 包括 MD5、SHA-1 等 。 

另外 ,关于 密码 体制 的 分 类 ,还 有 一 些 其 他 方法 ,例如 ,按照 在 加 密 过 程 中 是 否 注入 了 
客观 随机 因素 可 以 分 为 确定 型 密码 体制 和 概率 密码 体制 等 ,在 此 不 再 进行 详细 介绍 。 

人 们 最 经 常 使 用 的 基本 分 类 方法 是 第 一 种 分 类 方法 。 同 时 ,将 对 称 密码 体制 再 区 分 
为 流 密码 与 分 组 密码 ,由 于 大 多 数 现 有 的 公开 密 钥 密码 体制 都 属于 分 组 密码 ,所 以 非 对 称 
密 钥 密码 体制 不 再 区 分 流 密 码 与 分 组 密码 。 


223 密码 系统 的 安全 性 


1 Kerckhdfs 原理 

现代 密码 学 最 重要 的 假设 之 一 是 Kerckhoffs 原理 (Kerckhoffs”s Principle), 由 
Auguste Kerckhoffs 在 1883 年 提出 。Kerckhoffs 原理 指 在 密码 算法 的 分 析 当 中 ,一 般 先 
假设 密码 攻击 者 了 解密 码 方案 的 全 部 知识 ,可 以 得 到 相当 数量 的 密 文 ,知道 明文 的 统计 特 
性 和 密 钥 的 统计 特性 ,但 不 知道 每 一 个 密 文 c 所 用 的 特定 的 密 钥 上 ,这 时 整个 密码 系统 的 
安全 性 全 部 寄托 于 密 钥 的 保密 之 上 , 即 “ 一 切 秘密 富 于 密 钥 之 中 ”。 

一 个 可 靠 的 密码 体制 必须 遵循 Kerckhoffs 原理 。 

如 果 密 码 分 析 者 或 敌手 不 知道 所 使 用 的 密码 系统 ,那么 密码 系统 将 更 难 破译 ,但 不 应 
该 把 密码 系统 的 安全 性 建立 在 敌手 不 知道 所 使 用 的 密码 系统 这 个 前 提 之 下 。 换 句 话 说 ， 
密 钥 应 该 是 整个 密码 体制 的 核心 所 在 ,密码 体制 的 安全 性 应 该 建立 在 密 钥 的 基础 上 ,而 不 
是 依赖 于 密码 算法 的 隐藏 。 

有 必要 强调 的 是 ,Kerckhoffs 原理 看 上 去 有 人 悖 常 理 ,设计 一 个 看 似 更 加 安全 的 系统 总 
是 非常 具有 吸引 力 ,因为 可 以 隐藏 所 有 细节 ,这 也 称 为 隐蔽 式 安全 性 (Security by 
Obscurity)。 然 而 ,历史 经 验 说 明 这 样 的 系统 总 是 非常 脆弱 的 ,一 旦 该 系统 的 设计 被 逆向 
工程 或 通过 其 他 途径 泄露 了 ,攻击 者 很 轻易 就 可 以 将 其 攻破 。 一 个 典型 示例 就 是 用 于 保 
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护 DVD 内 容 的 内 容 加 扰 系 统 (Content Scrambling System,CSS) , 只 要 对 这 个 系统 进行 
逆向 工程 ,很 容易 就 能 将 其 破译 。 这 就 是 为 什么 即使 攻击 者 知道 加 密 算 法 ,加 密 方 案 也 必 
须 确保 安全 的 原因 。 


2 密码 系统 安全 性 的 评估 方法 
密码 系统 安全 性 评估 主要 有 三 种 方法 。 
(1) 无 条 件 安全 性 
对 于 一 个 密码 系统 来 说 , 若 攻 击 者 无 论 得 到 多 少 密 文 也 求 不 出 确定 明文 的 足够 信息 ， 
这 种 密码 系统 就 是 理论 上 不 可 破译 的 , 称 该 密码 系统 具有 无 条 件 安全 性 (Unconditionally 
Secure) 或 理论 安全 性 。 
构建 无 条 件 安全 的 密码 体制 是 可 能 的 。 如 下 的 密码 体制 ( 常 被 称 为 一 次 一 密 密 码 ) 已 
经 被 证 明 是 无 条 件 安全 的 。 
不 失 一 般 性 ,假设 明文 空间 、 密 文 空间 与 密 钥 空间 为 
明文 空间 M = Gn ym om nL) 
密 钥 空间 K = (ki,ks se ,ki ,ke) 
密 文 空间 C= (eice pees sescs) 
其 中 ,mw(1 志 1<L) ki(1 志 iR) 与 cj (1j 过 S$) 均 为 0、1 数字 。 
令 工 =R=S, 并 假定 明文 空间 与 密 钥 空间 统计 独立 , 且 密 钥 & 为 一 随机 数字 序列 。 
定义 加 密 变 换 为 
c= E(M) = m, Oh; 
其 中 ,mki 表示 明文 mm 与 密 钥 k; 按 位 模 2 加 ( 按 位 异 或 )。 
解密 变换 为 
mi = Di(C) = cs Oh 
其 中 ,c;@k; 表示 密 文 cj 与 密 钥 &; 按 位 模 2 加 ( 按 位 异 或 )。 
因此 ,解密 变换 确实 可 以 还 原 加 密 过 的 密 文 。 
可 以 证 明 , 如 上 的 密码 体制 是 无 条 件 安 全 的 (由 于 证 明 中 使 用 了 信息 论 的 有 关 知 识 ， 
在 此 不 再 给 出 详细 的 证 明 过 程 ) 。 
(2) 实际 安全 性 
实际 安全 性 又 分 为 计算 安全 性 (Computationally Secure) 和 可 证 明 安全 性 (Provable 
Secure) 两 种 。 
Q@ 计算 安全 性 。 若 一 个 密码 系统 原则 上 虽 可 破译 ,但 为 了 由 密 文 得 到 明文 或 密 钥 却 
需 付 出 十 分 巨大 的 计算 ,而 不 能 在 希望 的 时 间 内 或 实际 可 能 的 经 济 条 件 下 求 出 准确 的 答 
案 , 这 种 密码 系统 就 是 实际 不 可 破译 的 ,或 称 该 密码 系统 具有 计算 安全 性 。 
@ 可 证 明 安全 性 。 一 个 密码 系统 为 可 证 明 安 全 是 指 该 密码 安全 性 问题 可 转化 成 密 
码 研究 人 员 公 认 的 困难 问题 。 事 实 上 ,公开 密 钥 密码 系统 RSA 是 可 证 明 安全 的 ,因为 该 
密码 系统 的 安全 性 问题 ,在 大 量 的 研究 下 ,一 般 可 转化 成 素 因数 分 解 的 问题 ,而 素 因数 分 
解 的 问题 ,一 般 认为 是 很 困难 的 。 
对 于 任何 一 个 密码 系统 ,如 果 达 不 到 理论 上 不 可 破译 ,就 必须 达到 实际 不 可 破译 。 密 
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码 系 统 要 达到 实际 安全 性 ,需要 满足 以 下 准则 。 

Qa 破译 该 密码 系统 的 实际 计算 量 ( 包 括 计 算 时 间或 费用 ) 十 分 巨大 ,以 致 在 实际 上 是 
无 法 实现 的 。 

@ 破译 该 密码 系统 所 需要 的 计算 时 间 超 过 被 加 密 信息 有 用 的 生命 周期 。 例 如 ,战争 
中 发 起 战斗 攻击 的 作战 命令 只 需要 在 战斗 打响 前 需要 保密 ; 重要 新 闻 消 息 在 公开 报道 前 
需要 保密 的 时 间 往 往 也 只 有 几 个 小 时 。 

@ 破译 该 密码 系统 的 费用 超过 被 加 密 信息 本 身 的 价值 。 

如 果 一 个 密码 系统 能 够 满足 以 上 准则 之 一 ,就 可 以 认为 是 满足 实际 安全 性 的 。 


3 密码 系统 的 安全 因素 

一 个 密码 系统 的 实际 安全 性 牵涉 两 方面 的 因素 。 

(1) 所 使 用 的 密码 算法 的 保密 强度 

密码 算法 的 保密 强度 取决 于 密码 设计 的 水 平 、 破 译 技术 的 水 平 以 及 攻击 者 对 于 加 密 
系统 知识 的 多 少 。 密 码 系统 所 使 用 的 密码 算法 的 保密 强度 提供 了 该 系统 安全 性 的 技术 
保证 。 

(2) 密码 算法 以 外 不 安全 的 因素 

即使 密码 算法 能 够 达到 实际 不 可 破译 ,攻击 者 也 可 能 不 通过 对 密码 进行 破译 的 途径 ， 
而 是 通过 其 他 各 种 非 技术 手段 (例如 用 金钱 收买 密 钥 管理 人 员 等 ) 攻 破 一 个 密码 系统 。 

因此 ,密码 算法 的 保密 强度 并 不 等 价 于 密码 系统 整体 上 的 安全 性 。 一 个 密码 系统 必 
须 同 时 完善 技术 与 制度 要 求 ,才能 保证 整个 系统 的 安全 。 

本 书 仅 讨论 影响 一 个 密码 系统 安全 性 的 技术 因素 , 即 密码 算法 本 身 。 


224 密码 分 析 


1 密码 分 析 的 类 型 

设计 一 个 密码 算法 的 目的 是 其 保密 强度 可 以 在 Kerckhoffs 原理 下 达到 安全 性 要 求 。 
在 此 假设 下 ,常用 的 密码 分 析 有 以 下 四 种 类 型 。 

(1) 纯 密 文 攻击 

纯 密 文 攻击 (Ciphertext-Only Attack) 是 指 攻击 者 手中 除了 截获 的 密 文 外 ,没有 其 他 
任何 辅助 信息 ,尝试 恢复 成 相应 明文 ,或 者 找 出 密 钥 。 例 如 ,理论 上 不 可 破译 的 密码 与 实 
际 不 可 破译 的 密码 都 是 针对 纯 密 文 攻击 而 言 的 。 

(2) 已 知 明文 攻击 

已 知 明文 攻击 (Known-Plaintext Attack) 是 指 攻 击 者 除了 掌握 密 文 ,还 掌握 了 部 分 明 
文 和 密 文 的 对 应 关系 。 例 如 ,如 果 是 遵从 通信 协议 的 对 话 ,由 于 协议 中 使 用 固定 的 关键 
字 , 如 login、password 等 ,通过 分 析 可 以 确定 这 些 关键 字 对 应 的 密 文 。 此 外 ,如 果 传 输 的 
是 法 律 文件 ,单位 通知 等 类 型 的 公文 ,由 于 大 部 分 公文 有 固定 的 格式 和 一 些 约定 的 文字 ， 
在 截获 的 公文 较 多 的 条 件 下 ,可 以 推测 出 一 些 文字 、 词 组 对 应 的 密 文 。 

(3) 选择 明文 攻击 

选择 明文 攻击 (Chosen-Plaintext Attack) 是 指 攻 击 者 知道 加 密 算法 ,同时 能 够 选择 明 

41 


mm 信息 安全 技术 gm 


文 并 得 到 相应 明文 所 对 应 的 密 文 。 这 是 比较 常见 的 一 种 密码 分 析 类 型 。 例 如 ,攻击 者 截 
获 了 有 价值 的 密 文 ,并 获取 了 加 密使 用 的 设备 ,向 设备 中 输入 任意 明文 可 以 得 到 对 应 的 密 
文 , 以 此 为 基础 ,攻击 者 尝试 对 有 价值 的 密 文 进行 破解 。 选 择 明文 攻击 常常 被 用 于 破解 采 
用 公开 密 钥 密码 系统 加 密 的 信息 内 容 。 

(4) 选择 密 文 攻击 

选择 密 文 攻击 (Chosen-Ciphertext Attack) 是 指 攻击 者 知道 加 密 算法 ,同时 可 以 选择 
一 些 对 攻击 有 利 的 特定 密 文 ,并 将 密 文 破译 成 对 应 的 明文 。 采 用 选择 密 文 攻击 这 种 攻击 
方式 ,攻击 者 的 攻击 目标 通常 是 加 密 过 程 使 用 的 密 钥 。 基 于 公开 密 钥 密码 系统 的 数字 签 
名 ,容易 受到 这 种 类 型 的 攻击 。 

上 述 每 种 攻击 的 目的 是 决定 所 使 用 的 密 钥 。 这 四 种 攻击 类 型 的 强度 按 顺序 递增 , 纯 
密 文 攻击 是 最 弱 的 一 种 攻击 ,选择 密 文 攻击 是 最 强 的 一 种 攻击 。 如 果 一 个 密码 系统 能 够 
抵抗 选择 密 文 攻击 ,那么 它 当 然 能 够 抵抗 其 余 三 种 攻击 。 


2 密码 分 析 的 方法 

从 密码 分 析 的 途径 来 看 ,在 密码 分 析 过 程 中 可 以 采用 穷 举 攻击 法 、 统 计 分 析 法 和 数学 
分 析 法 三 种 方法 。 

(1) 穷 举 攻击 法 

穷 举 攻击 法 的 破解 思路 是 尝试 所 有 的 可 能 以 找 出 明文 或 者 密 钥 。 穷 举 攻击 法 可 以 划 
分 为 穷 举 密 钥 和 穷 举 明文 两 类 。 穷 举 密 钥 是 指 攻 击 者 依次 使 用 各 种 可 能 的 解密 密 钥 对 截 
收 的 密 文 进行 试 译 ,如 果 某 个 解密 密 钥 能 够 产生 有 意义 的 明文 , 则 相应 的 密 钥 就 是 正确 的 
解密 密 钥 。 穷 举 明 文 是 指 攻击 者 在 保持 加 密 密 钥 不 变 的 条 件 下 ,对 所 有 可 能 的 明文 进行 
加 密 , 如 果 某 段 明文 加 密 的 结果 与 截获 的 密 文 一 致 , 则 相应 的 明文 就 是 发 送 者 发 送 的 信息 。 

为 了 对 抗 穷 举 攻击 ,现代 密码 系统 在 设计 时 往往 采用 扩大 密 钥 空 间或 者 提高 加 密 、 解 
密 算法 复杂 度 的 方法 。 当 密 钥 空间 扩大 以 后 ,采用 穷 举 密 钥 的 方法 ,在 破解 的 过 程 中 需要 
尝试 更 多 的 解密 密 钥 ; 提高 加 密 、 解 密 算 法 的 复杂 度 , 将 使 攻击 者 无 论 采 用 穷 举 密 钥 还 是 
穷 举 明文 的 方法 对 密码 系统 进行 破解 ,每 次 破解 尝试 都 需要 付出 更 加 高 昂 的 计算 开销 。 
对 于 一 个 完善 的 现代 密码 系统 ,采用 穷 举 攻击 法 进行 破解 需要 付出 的 代价 很 可 能 超过 密 
文 破解 产生 的 价值 。 

(2) 统计 分 析 法 

统计 分 析 法 是 通过 分 析 明 文 和 密 文 的 统计 规律 来 破解 密 文 的 一 种 方法 。 一 些 古 典 密 
码 系 统 加 密 的 信息 , 密 文中 字母 及 字母 组 合 的 统计 规律 与 明文 完全 相同 ,此 类 密码 系统 容 
易 被 统计 分 析 法 破解 。 统 计 分 析 法 首先 需要 获得 密 文 的 统计 规律 ,在 此 基础 上 ,将 密 文 的 
统计 规律 与 已 知 的 明文 统计 规律 对 照 比 较 , 提 取 明 文 、 密 文 的 对 应 关系 ,进而 完成 密 文 
破解 。 

要 对 抗 统计 分 析 攻 击 ,密码 系统 在 设计 时 应 当 着 力 避 免 密 文 和 明文 在 统计 规律 上 存 
在 一 致 ,从 而 使 攻击 者 无 法 通过 分 析 密 文 的 统计 规律 来 推断 明文 内 容 。 

(3) 数学 分 析 法 

大 部 分 现代 密码 系统 以 数学 难题 作为 理论 基础 。 数 学 分 析 法 是 指 攻击 者 针对 密码 系 
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统 的 数学 基础 和 密码 学 特性 ,利用 一 些 已 知 量 ,如 一 些 明文 和 密 文 的 对 应 关系 ,通过 数学 
求解 破译 密 钥 等 未 知 量 的 方法 。 对 于 基于 数学 难题 的 密码 系统 ,数学 分 析 法 是 一 种 重要 
的 破解 手段 。 


2.3 古典 密码 体制 





231 古典 密码 技术 分 类 


古典 密码 技术 主要 分 为 代 换 (Substitution) 密码 系统 和 置换 (Permutation) 密码 系 
统 , 亦 称 代 换 密码 和 置换 密码 。 代 换 密码 又 分 为 单字 母 代 换 (Monogram Substitution) 密 
码 和 多 字母 代 换 (Polygram Substitution ) 密码 ; 单字 母 代 换 密码 又 分 为 单 表 代 换 
(Monoalphabetic Substitution) 密码 和 多 表 代 换 (Polyalphabetic Substitution ) 密码 ,如 
图 2-2 所 示 。 分 类 的 原则 不 是 根据 密码 系统 质量 好 或 坏 , 而 是 根据 其 设计 的 内 部 特性 。 






































































恺 撤 密码 
站 Re | 移 位 密码 
音素 信 换 | 代 换 密友 
仿 射 密码 
单字 母 0 
代 换 密码 
yy Vigenere 密 码 
代 换 密码 多 过 信和 Beaufort 密 码 
古典 希 尔 密码 Running-Key 密 码 
密码 多 字母 da 
技术 代 换 密码 多 字母 仿 射 密码 
置换 密码 
图 2-2 古典 密码 技术 分 类 
232 代 换 密码 


令 卫 表示 明文 字母 表 , 内 有 4 个 “字母 ?或 "字符 ”。 例 如 ,可 以 是 普通 的 英文 字母 A 一 Z， 
也 可 以 是 数字 空格 ,标点 符号 或 任意 可 以 表示 明文 消息 的 符号 。 可 以 将 卫 抽 象 地 表示 
为 一 个 整数 集 Z, 二 10,1,2,…,g 一 1) ,在 加 密 时 通常 将 明文 消息 划分 成 长 为 工 的 消息 单 
元 , 称 为 明文 组 ,以 站 表 示 , 如 兽王 (Cao 7 07271) ,mEZ,0 二 [二 L 一 1。m 也 
称 L- 报 文 , 它 可 以 被 视 为 定义 在 Zs 上 的 随机 变量 。 
五 = 2Z, xZ, xX… XZL 个 ) 
= {m= mom om ma) |m E Zoo0 委 1/ 委 革 一 1) 
了 一] 为 单字 母 报 (1-gram),L 二 2 为 双 字 母 报 (Digrams),L 二 3 为 三 字母 报 
(CTrigrams) 。 这 时 明文 空间 P= 二 Zt 。 
令 卫 表示 9 个 “字母 ?或 “字符 ”的 密 文字 母 表 .可 抽象 地 用 整数 集 Zv 一 (40,1,2,…， 
g 一 1) 表 示 。 密 文 单元 或 组 为 c 王 (coyca cr cz-i)(L 个 ),creEZr 0 魏 / 委 二 一 1。 
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< 是 定义 在 Zr 上 的 随机 变量 。 密 文 空间 C 一 Z 。 

一 般 地 ,明文 和 密 文 由 同一 字母 表 构 成 , 即 T=。 

代 换 密码 可 以 看 作 从 一 到 Z5 的 映射 。 革 一 1 时 , 称 为 单字 母 代 换 , 也 称 流 密码 ; 工 >1 
时 , 称 为 多 字母 代 换 ,也 称 分 组 密码 。 

正常 情况 下 ,选择 的 明文 和 密 文字 母 表 是 相同 的 。 此 时 ,车 工 二 L', 则 代 换 映射 是 一 
一 映射 ,密码 无 数据 扩展 ; 车 LL', 则 有 数据 扩展 ,可 将 加 密 函 数 设 计 成 一 对 多 的 映射 ， 
即 明文 组 可 以 找到 多 于 一 个 密 文 组 来 代 换 ,这 称 为 多 名 (或 同音 ) 代 换 密码 (Homophonic 
Substitution Cipher); 若 工 二 二 , 则 明文 数据 被 压缩 ,此 时 代 换 映射 不 可 能 构成 可 逆 映 射 ， 
从 而 密 文 有 时 会 无 法 完全 恢复 出 原 明 文 消 息 , 因 此 保密 通信 中 必须 要 求 工 乏 忆 。 但 
LL' 的 映射 可 以 用 在 认证 系统 中 。 

在 T= 了 ,gq 二 gq ,L 二 1 时 ,车 对 所 有 明文 字母 ,都 用 一 种 固定 的 代 换 进行 加 密 , 则 称 这 
种 密码 为 单 表 代 换 ; 若 用 一 个 以 上 的 代 换 表 进 行 加 密 , 则 称 多 表 代 换 , 这 是 古典 密码 中 的 
两 种 重要 体制 。 还 有 一 个 常见 的 是 多 字母 代 换 密码 。 


1 单 表 代 换 密码 

单 表 代 换 密码 是 对 明文 的 所 有 字母 都 用 一 个 固定 的 明文 字母 表 到 密 文字 母 表 的 映射 ， 
即 f:2, 一 2Z,。 令 明文 芭 =mo ma,…, 则 相应 的 密 文 为 c=e@ (zz) 一 cocl… 一 大 oo) Cm)*…。 
由 于 请 言 的 特征 可 以 很 容易 地 从 密 文 中 提取 出 来 ,所 以 单 表 代 换 密码 不 能 非常 有 效 地 抵 
抗 密码 攻击 。 常 见 的 单 表 代 换 密码 有 移 位 密码 、 代 换 密码 和 仿 射 密码 等 ,下 面 分 别 进行 
介绍 。 

(1) 移 位 密码 

移 位 密码 (Shift Cipher) 的 基础 是 数论 中 的 模 运算 。 在 密码 的 数学 描述 中 ,字母 表 中 
的 26 个 字母 都 被 编码 为 数字 , 即 英文 字母 和 模 26 剩余 之 间 的 一 一 对 应 关系 ,如 表 2-1 
所 示 。 


表 2-1 移 位 密码 中 的 字母 编码 
字母 A B C D E 区 G H I ’ K L M 





编码 0 1 2 各 4 5 6 8 9 10 11 让 








字母 N O Pp Q R S U V Ww X 2Z 












































编码 13 14 15 16 17 18 19 | 20 | 21 22 23 24 25 


如 果 明 文中 的 字母 和 密 文 中 的 字母 被 数字 化 , 且 各 自 表示 为 x、y, 这 样 x 和 y 都 是 环 
Zz 中 的 元 素 , 包 括 密 钥 ( 即 移 位 的 长 度 ) 也 在 环 Zzs 中 。 移 位 密码 的 加 密 过 程 和 解密 过 程 
如 定义 2-1 所 示 。 

定义 2-1 移 位 密码 。 设 z,y,kE Zzs, 则 

加 密 : ei (zx) 圭 (x 十 k)mod 26 解密 : di(y) 圭 (y 一 k)mod 26 

容易 看 出 ,对 每 个 zxE Ze , 移 位 满足 密码 系统 的 定义 , 即 由 (es(Cz)) 一 工 。 

历史 上 最 著名 的 移 位 密码 就 是 恺 撤 密码 , 恺 撤 密 码 中 取 & 王 3。 下 面 以 恺 撤 密 码 为 例 
说 明 移 位 密码 的 使 用 。 
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例 2-1 移 位 密码 在 加 密 时 ,对 英文 26 个 字母 进行 位 移 代 换 ,将 每 一 个 字母 向 前 推移 
& 位 。 试 对 以 下 明文 按照 恺 撤 密码 规则 进行 加 密 。 

明文 : caesar cipher is a shift substitution 

首先 ,由 于 恺 撤 密码 是 =3 的 情况 , 即 通过 简单 的 向 右 移动 源 字母 表 3 个 字母 , 则 形 
成 代 换 字母 表 , 如 表 2-2 所 示 。 


表 2-2 恺 撤 密码 代 换 字母 表 
























































和 a b c d e £ g h i j k 1 m 
D E F G H I J K L M N O r 
皮 n 0 p q 年 S t u V w y 也 
多 Q R S T U V Ww X VY Zz A B C 


则 密 文 为 : FDHVDU FLSKHU LV D VKLIW VXEVWLWXWLRQ 

安全 性 分 析 : 移 位 密码 是 极 不 安全 的 (mod 26), 因 为 它 可 被 穷 举 密 钥 搜索 所 分 析 : 
仅 有 26 个 可 能 的 密 钥 ,尝试 每 一 个 可 能 的 解密 规则 di ,直到 一 个 有 意义 的 明文 串 被 获 
得 。 平 均一 个 明文 在 尝试 26/2 王 13 次 解密 规则 后 ,将 显现 出 来 。 

可 以 设想 : 如 果 密 文字 母 表 是 用 随机 的 次 序 放置 ,而 不 是 简单 地 对 应 于 源 字母 表 的 
偏 移 , 密 钥 量 将 大 幅度 增加 。 这 就 是 下 面 要 介绍 的 代 换 密码 。 

(2) 代 换 密码 

另 一 个 众所周知 的 古典 密码 系统 是 代 换 密码 CSubstitution Cipher) 。 这 个 密码 系统 
已 被 用 了 数 百 年 。 报 纸 上 的 数字 猜谜 游戏 就 是 代 换 密码 的 一 个 典型 例子 。 其 定义 如 定 
义 2-2 所 示 。 

定义 2-2 ” 代 换 密码 。 令 P=C==Zwo,K 由 26 个 数字 0,1,…,25 的 所 有 可 能 置换 组 
成 。 对 任意 的 置换 xEK ,定义 : 

加 密 : ei (xz) 二 x(x) 解密 : do(y) 一 r 1(Cy) 

其 中 ,x ! 是 x 的 道 置换 。 

事实 上 ,在 代 换 密码 的 情形 下 ,也 可 以 认为 P 和 C 是 26 个 英文 字母 。 在 移 位 密码 中 
使 用 Zs 是 因为 加 密 和 解密 都 是 代数 运算 。 但 是 在 代 换 密码 中 ,可 更 简单 地 将 加 密 和 解密 
过 程 直接 看 作 一 个 字母 表 上 的 置换 。 

任 取 一 置换 x, 便 可 得 到 一 加 密 函 数 ,如 表 2-3 所 示 ( 同 前 ,小 写字 母 表示 明文 ,大 写 
字母 表示 密 文 ) 。 

表 2-3 加密 函数 置换 表 
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按照 表 2-3 应 有 ex(a) 一 X,ex(b) 一 N, 等 等 。 解 密 函 数 是 相应 的 逆 置 换 , 由 表 2-4 
给 出 。 
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表 2-4 解密 函数 逆 置换 表 





















































I A B C D E F G H 了 J K E M 
x 1(z) d 1 r y v o h e z x w p t 
i N O P Q R S 于 U V Ww xX 等 2 
x !(r) b g f j q n m u s k a c i 


因此 ,d.(A)==d,d.(B)==1, 等 等 。 
显然 , 代 换 密码 的 密 钥 是 由 26 个 元 素 随 机 置换 生成 , 太 复杂 而 不 容易 记忆 ,因此 实际 
中 密 钥 句 子 常 被 使 用 。 密 钥 句 子 中 的 字母 依次 填 入 密 文 字母 表 ( 重 复 的 字母 只 用 一 次 )， 
未 用 的 字母 按 自然 顺序 排列 。 
例 2-2 密 钥 句子 为 : the message was transmitted an hour ago 
源 字母 表 为 :a bcdefghijklmnopqrstuvwxyz 
代 换 字母 表 为 : THEMSAGWRNIDOUBCFJKLPQVXYZ 
明文 : please confirm receipt 
密 文 ; CDSTKS EBUARJO JSESRCL 
由 于 代 换 密码 的 一 个 密 钥 刚好 对 应 于 26 个 英文 字母 的 一 种 置换 。 所 有 可 能 的 置换 
有 26! 种 ,这 个 数值 超过 了 4.0X10”, 是 一 个 非常 大 的 数 。 即 使 对 现代 计算 机 来 说 , 穷 
举 密 钥 搜索 也 是 不 可 行 的 。 
(3) 仿 射 密码 
从 前 面 可 以 看 到 , 移 位 密码 实际 上 是 代 换 密码 的 一 种 特殊 情况 ,其 只 包含 了 26! 种 
代 换 密码 置换 中 的 26 种 。 下 面 介绍 的 仿 射 密码 (Affine Cipher) 是 另 一 个 代 换 密码 的 特 
殊 情况 ,就 不 存在 这 个 弱点 。 在 仿 射 密码 中 ,加 密 函 数 定义 为 
e(z) 一 (az 十 0)mod 26 
其 中 ,a,5bE Zos。 因 为 这 样 的 函数 被 称 为 仿 射 函数 ,所 以 也 将 这 样 的 密码 系统 称 为 仿 射 密 
码 ( 注 意 , 当 a 二 1 时 ,其 对 应 的 正 是 移 位 密码 )。 
下 面 给 出 完整 的 仿 射 密码 系统 的 定义 ,如 定义 2-3 所 示 。 
定义 2-3 仿 射 密码 。 令 P=C=Zo, 目 K={(a,b) EZoo XZos|gcd(a,26) 二 1) ,对 任 
意 的 k= 二 (a,6)EK,z,yE€ Zos ,其 定义 如 下 。 
加 密 : ei (xz) 二 (az+b)mod 26 
解密 : di(y) 二 a !(y 一 6)mod 26 
为 了 能 对 密 文 进行 解密 ,必须 保证 所 选用 的 仿 射 函数 是 一 个 双 射 函数 。 换 句 话 说 ,对 
任意 y€ Zs ,下 面 的 同 余 方程 要 求 有 唯一 解 x: 
ar +b = y(mod 26) 
上 述 同 余 方 程 等 价 于 : 
ar 三 y—b(mod 26) 
显然 ,对 任意 y€ Zz ,都 相应 有 y 一 5E Zzs。 故 只 需 研 究 同 余 方 程 ar 圭 y(mod 26) 
(y€ Zzs) 即 可 。 数 论 知识 告诉 我 们 , 当 且 仅 当 gcd(a,26) 二 1(gcd 表示 最 大 公约 数 ) 时 ,上 
述 同 余 方 程 对 每 个 > 有 唯一 解 。 
因为 26 二 2X13, 故 所 有 与 26 互 素 的 数 为 a€ {1,3,5,7,9,11,15,17,19,21,23,25}， 
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即 满足 a€ Zos ,gcd(a,26) 二 1 的 a 只 有 12 种 候选 ,参数 0 的 取 值 可 为 Ze 中 的 任何 数 。 
此 , 仿 射 密码 的 密 钥 空间 为 12X26 王 312( 当 然 ,这 个 密 钥 太 小 ,是 很 不 安全 的 ) 。 
例 2-3 设 &=(7,3),7-:mod 26 二 15, 加 密 函 数 为 ei (zx) 二 77 十 3, 则 相应 的 解密 函数 
为 di(y) 二 15(y 一 3) 二 15y 一 19, 其 中 所 有 的 运算 都 是 在 Zs 上 完成 的 。 下 面 验证 对 任意 
的 xzEZze ,都 有 di(ei(x))==x。 
di(e(z)) 一 由 (7z 十 3) = 15(7z+3)—19=Zz+45—19= zx(mod 26) 
使 用 上 面 的 密 钥 ,我 们 来 加 密 明 文 hot。 首 先 转化 这 三 个 字母 为 对 应 的 模 26 下 的 
数 ,分 别 为 数字 7、14、19。 将 其 分 别 加 密 如 下 : 
(7X7 十 3)mod 26 = 52 mod 26 一 0 
(7X14 十 3)mod 26 = 101 mod 26 = 23 
(7X19 十 3)mod 26 = 136 mod 26 一 6 
所 以 ,三 个 密 文字 符 为 0.23、6 ,相应 的 密 文 应 为 AXG。 具 体 的 解密 变换 留 给 读者 自行 
练习 。 
至 此 ,可 得 出 结论 : 通常 ,上 述 所 介绍 的 单 表 代 换 方式 不 是 非常 抗 密码 攻击 的 ,因为 
语言 的 特征 仍 能 从 密 文 中 提取 出 来 。 可 以 通过 运用 不 止 一 个 代 换 表 来 进行 代 换 ,从 而 来 
掩盖 密 文 的 一 些 统计 特征 。 与 单 表 代 换 密码 相对 应 , 称 其 为 多 表 代 换 密码 。 


2 多 表 代 换 密码 

多 表 代 换 密码 是 以 一 系列 (两 个 以 上 ) 代 换 表 依次 对 明文 消息 的 字母 进行 代 换 的 加 密 
方法 。 令 明文 字母 表 为 Z, ,f= 二 (fi,f;,，…) 为 代 换 序列 ,明文 字母 序列 为 z= (x ,x ，…)， 
则 相应 的 密 文字 母 序列 为 c==er (xz) 二 f(z) 二 h(xz1) ,f(zs),…。 车 是 非 周 期 的 无 限 
序列 , 则 相应 的 密码 称 为 非 周期 多 表 代 换 密码 。 这 类 密码 ,对 每 个 明文 字母 都 采用 不 同 的 
代 换 表 ( 或 密 钥 ) 进 行 加 密 , 称 为 一 次 一 密 密 码 ,这 是 一 种 理论 上 唯一 不 可 破 的 密码 。 这 种 
密码 完全 可 以 隐蔽 明文 的 特点 ,但 由 于 需要 的 密 钥 量 和 明文 消息 长 度 相同 而 难以 广泛 使 
用 。 为 了 减少 密 钥 量 ,在 实际 应 用 中 多 采用 周期 多 表 代 换 密 码 , 即 代 换 表 个 数 有 限 ,重复 
地 使 用 。 

有 名 的 多 表 代 换 密码 有 Vigenere、Beaufort、Running-Key 和 转 轮 机 (Machine) 等 密码 。 

下 面 对 维 吉 尼 亚 密 码 进行 详细 介绍 。 

Vigenere 密码 ( 维 吉 尼 亚 密码 ) 是 由 法 国 密码 学 家 Blaise de Vigenere 于 1858 年 提出 
的 , 它 是 一 种 以 移 位 代 换 (当然 也 可 以 用 一 般 的 字母 代 换 表 ) 为 基础 的 周期 代 换 密码 ,是 多 
表 代 换 密码 的 典型 代表 ,如 定义 2-4 所 示 。 

定义 2-4 ” 维 吉 尼 亚 密 码 。 设 m 是 某 固 定 的 正 整数 , 令 P=C= 开 一 (Zoo)2 ,对 一 个 
密 钥 二 (ki ,ks，…,k) ,定义 如 下 。 

加 密 :; ek(ziyzz，…zn) 一 (Zi 十 ,zz 十 Ra Zn 十 RD) 

解密 : di Cy1 ,ya yn) = (yi Ris yk ss ym km) 

所 有 的 运算 都 在 Zs 中。 

使 用 上 述 方法 ,对 应 A<>0,.B*>1.…,Z25, 则 每 个 密 钥 RE 一 ( ,ks ，… ,hk,) 为 长 为 m 
的 字母 串 , 称 为 密 钥 字 。 维 吉 尼 亚 密码 一 次 加 密 m 个 明文 字母 , 当 明 文 串 的 长 度 大 于 
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信 ， 


时 ,将 明文 串 按 m 一 组 分 段 ,然后 逐 段 使 用 密 钥 字 kk。 下 面 给 出 具体 实例 。 


例 2-4 设 m==6, 且 密 钥 字 为 CIPHER, 其 对 应 密 钥 串 & 二 (2,8,15,7,4,17)。 假 定 


明文 串 是 thiscryptosystemisnotsecure。 


首先 将 明文 中 转化 为 数字 串 , 按 6 个 一 组 分 段 , 然 后 模 26“ 加 ”上 密 钥 字 得 : 


9 





15 


21 


17 


20 


15 
19 


15 
起 





25 


19 


其 相应 的 密 文 应 该 为 : 


VPXZGIAXIVWPUBTTMJPWIZITWZT 


解密 过 程 与 加 密 过 程 类 似 , 不 同 的 只 是 进行 模 26 减 ,而 不 是 模 26 加 。 


此 外 ,也 可 以 利用 由 维 吉 尼 亚 密码 加 密 原 理 生 成 的 维 吉 尼 亚 代 换 方 阵 表 ,如 表 2-5 所 


示 , 更 直观 地 进行 加 密 和 解密 运算 。 


表 2-5 维 吉 尼 亚 代 换 方 阵 表 
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例 2-5 设 明 文 为 polyalphabetic cipher, 密 钥 字 A 王 RADIO, 周 期 m 二 5, 首 先 将 明文 

分 解 成 长 为 5 的 序列 : 
polya lphab eticc ipher 
每 一 段 用 密 钥 & 一 RADIO ,参考 维 吉 尼 亚 代 换 方 阵 表 ,可 得 密 文 : 
c=GOOGO CPKTP NTLKQ ZPKMF 

利用 密 钥 & 一 RADIO 对 明文 polya 加 密 得 密 文 GOOGO ,第 一 个 G 是 在 r 行 p 列 上 ， 
第 二 个 O 是 在 a 行 o 列 上 ,第 三 个 O 是 在 d4 行 1 列 上 , 依 此 类 推 。 解 密 时 p 是 r 行 含 G 的 
列 , 同 理 o 是 a 行 含 O 的 列 。 依 此 可 以 推出 全 部 密 文 ,从 而 恢复 出 明文 。 

可 以 看 出 , 维 吉 尼 亚 密码 的 密 钥 空间 大 小 为 26” ,所 以 即使 m 的 值 很 小 ,使 用 穷尽 密 
钥 搜 索 方 法 也 需要 很 长 的 时 间 。 例 如 , 当 m= 二 5 时 , 密 钥 空间 大 小 超过 1. 1X 107 ,这 样 的 
密 钥 量 已 经 超出 了 使 用 手 算 进 行 穷尽 搜索 的 能 力 范 围 (当然 使 用 计算 机 另 当 别论 )。 在 一 
个 具有 密 钥 长 度 为 m 的 维 吉 尼 亚 密码 中 ,一 个 字母 可 被 映射 到 m 个 可 能 的 字母 之 一 ( 假 
定 密 钥 字 包 含 mn 个 不 同 的 字符 )。 

一 般 来 说 ,这 种 多 表 代 换 密码 系统 分 析 起 来 比 单 表 代 换 更 困难 一 些 。 


3 多 字母 代 换 密码 一 一 希 尔 密码 

多 字母 代 换 密码 的 特点 是 每 次 对 工 二 1 个 字母 进行 代 换 , 这 样 做 的 优点 是 容易 将 字 
母 的 频率 信息 隐蔽 或 均匀 化 而 有 利于 抗 统计 分 析 。 

希 尔 密 码 (Hill Cipher) 是 一 种 多 字母 代 换 密码 ,这 种 密码 体制 于 1929 年 由 Lester 
S. Hill 提出 ,其 主要 思想 是 利用 线性 变换 的 方法 进行 密码 变换 处 理 。 

定义 2-5 给 出 了 Zss。 上 希 尔 密码 的 具体 描述 。 

定义 2-5 希 尔 密码 。 设 m 宇 2 是 某 个 固定 的 正 整数 ,P= 二 C= 二 (Zw )", 且 KK 二 {定义 在 
Zzs 上 的 mXm 可 道 矩阵 上 ,对 任意 的 密 钥 ,密码 变换 定义 如 下 。 

加 密 : ex(Cz) 一 zR 

解密 : di(y) 三 yk ! 
以 上 运算 都 是 在 Ze 上 进行 的 。 

可 以 看 出 , 当 关 =1 时 ,系统 退化 为 单字 母 仿 射 代 换 密码 ,可 见 希 尔 密码 是 仿 射 密码 
体制 的 推广 。 

当 mm 二 2 时 ,可 以 将 每 一 个 明文 单元 使 用 z= (zi'zs) 来 表示 ,同样 密 文 单元 使 用 > 一 
(y1,y2) 来 表示 。 具 体 加 密 中 ,yi ,> 将 被 表示 为 zi ,zs 的 线性 组 合 。 

例如 : 





一 (llz 十 3zz)mod 26 
ys 一 (8zi 十 7zz)mod 26 
这 样 可 以 使 用 矩阵 形式 将 上 式 简 记 为 ?一 xKk, 即 : 
(yiyyz) = (zl (3 "| 
3 7 
11 8 


Ht 9: 强 


为 宣 多. 
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因此 ,通过 已 学 的 线性 代数 相关 知识 ,可 求 出 密 钥 矩阵 大 的 逆 和 矩阵 大 :来 解密 ,此 时 
的 解密 公式 为 x 一 只-:。 可 以 验证 : 
[ 3 ( 7 出 
未 7] “zy i 
除了 m 取 值 很 小 (如 m= 二 2,3) 时 ,计算 Kk 1! 还 没有 一 种 更 高 效 的 方法 ,所 以 大 大 限制 
了 它 的 广泛 应 用 ,但 对 密码 学 的 早期 研究 有 很 好 的 推动 作用 。 
例 2.6 要 定 密 包 是 | 3 7 和 上 现在 加 密 明文 july, 分 为 两 个 明文 
组 (9,20)( 相 应 于 ju) 和 (11,24)( 相 应 于 ly)。 计 算 如 下 : 


11 8 
‘20 7]- (99 十 60,72 十 140) 一 (3,4)(mod 26) 


11 8 
al.20| ] (121 
3 7 了 


因此 ,明文 串 july 加 密 后 的 密 文 串 为 DELW 。 


233 置换 密码 


置换 密码 (Permutation Cipher) 的 使 用 已 经 有 数 百年 的 历史 ,最 早 在 1563 年 就 由 
Giovanni Porta 给 出 了 置换 密码 和 代 换 密码 的 具体 区 别 。 置 换 密码 的 特点 是 保持 明文 的 
所 有 字母 不 变 , 利 用 置换 打 乱 明文 字母 的 位 置 和 次 序 , 所 以 有 时 也 称 换 位 密码 
(Transposition Cipher) 。 

定义 在 有 限 集 X 上 的 置换 为 一 双 射 函数 x:X 一 X。 换 句 话 说 ,r 既是 单 射 ,又 是 满 
射 , 即 对 任意 的 zxEX, 存 在 唯一 的 z EX, 使 得 x(zx') 二 z+。 这 样 ,可 以 定义 置换 x 的 逆 置 
换 x 1:X-~X 为 : 











72,88 十 168) = (11,22)(mod 26) 


rzZ) 一 2 

当 且 仅 当 r(Cz) 一 工时 ,x :也 是 X 上 的 一 个 置换 。 

定义 2-6 给 出 了 置换 密码 的 具体 定义 。 

定义 2-6 置换 密码 。 设 m 为 一 正 整 数 。P 二 C 二 (Zws)", 且 K 由 所 有 定义 在 集合 
代 ,2,…,m) 上 的 置换 组 成 。 对 任意 的 密 钥 (置换 )x, 定 义 变换 如 下 。 

加 密 ; es(z; zor Ta) = (rs Te Tn) ) 

解密 : ds(Cy yy syn) = (ysl ye 9 Yelm ) 
其 中 ,x 为 置换 x 的 逆 置 换 。 

对 于 置换 密码 ,由 于 在 加 密 和 解密 过 程 中 没有 执行 代数 运算 ,使 用 字母 比 使 用 模 26 
剩余 更 方便 一 些 。 下 面 给 出 一 个 具体 的 例子 。 

例 2-7 假定 m==6, 密 钥 为 如 下 的 置换 x: 





= |1|2:| 
5 


3 
xc | 3 | | : 
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则 逆 置 换 < 为: 


| 





玉 | 2 | 3 | 4 | 5 | 6 
“| Ele|1|5|2|4 

现在 ,假定 给 出 明文 为 : shesellsseashellsbytheseashore 

首先 ,将 明文 分 为 6 个 字母 一 组 : shesel lsseas hellsb ythese shore 

每 6 个 字母 按 x 重 排 , 得 到 密 文 : EESLSHSALSESLSHBLEHSYEETHRAEOS 

解密 过 程 同 加 密 过 程 一 样 , 只 不 过 使 用 的 是 逆 置换 ,在 此 不 再 给 出 。 

事实 上 ,置换 密码 是 希 尔 密码 的 特例 。 下 面 主 要 对 这 一 点 予以 说 明 。 给 定 集合 {1， 
2,…,m} 的 一 个 置换 x, 可 按 如 下 方法 定义 一 个 置换 x 的 关联 置换 矩阵 开 。 一 (CA ) wx : 

n 车 i = x(j) 

| 其 他 
即 一 个 置换 矩阵 是 指 每 行 和 每 列 刚好 只 有 一 个 元 素 1, 其 余 元 素 都 为 0 的 矩阵 。 因 此 一 
个 置换 矩阵 可 以 通过 对 单位 矩阵 进行 行 置换 和 列 置换 得 到 。 

容易 看 出 使 用 矩阵 K; 为 密 钥 的 希 尔 密码 事实 上 等 价 于 使 用 密 钥 x 进行 加 密 的 置换 
密码 ,并且 还 有 Ks 一 K: , 即 K; 的 逆 矩 阵 是 置换 r 一 的 关联 置换 矩阵 。 这 说 明 二 者 的 解 
密 变 换 也 是 等 价 的 。 

对 于 上 述 例子 中 的 置换 x, 其 关联 置换 矩阵 为 : 


kj = 


00 1000 
000001 
gl1°00000 
000010 
,本 
00010 
并 且 还 有 
001000 
0° 0 
|I100000 
和 oooool 
000100 
0- 0.0 00 


可 以 验证 KK! 二 1 说 明 Kz' 二 Ke! 。 
习题 2 
1. 密码 技术 的 发 展 经 历 了 哪些 阶段 ? 分 别 发 生 了 哪些 显著 的 变化 ? 


2. 一 个 密码 系统 的 基本 组 成 包含 哪些 因素 ? 
51 
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. 密码 技术 有 哪些 分 类 方法 ? 其 中 常用 的 是 哪 种 分 类 ? 

. 简 述 Kerckhoffs 原理 ,并 说 明 其 在 密码 系统 中 的 作用 。 

- 如 何 评估 一 个 密码 系统 的 安全 性 ? 安全 性 因素 有 哪些 ? 

. 密码 分 析 有 哪 几 种 类 型 ? 试 分 别 举例 说 明 。 

. 当 k 二 5,6 二 3 时 ,用 仿 射 密 码 加 密 字符 : WO SHI XUESHENG 。 
8. 


使 用 Vigenere 方案 ,给 出 密 文 : ZLCVTWQNGRZGVTWAVZHCQYGLMGJ, 找 


出 对 应 下 列 明文 的 密 钥 : wearediscoveredsaveyourself 。 


和 


分 析 Vigenere 密码 体制 的 安全 性 ,并 编程 实现 Vigenere 密码 算法 。 


10. 分 析 Hill( 和 希 尔 ) 密 码 体制 的 安全 性 ,并 编程 实现 Hill 密码 算法 。 

11. 英文 字母 a,b,c,…,z 分 别 编码 为 0,1,2,3,4,…','25, 已 知 Hill( 希 尔 ) 密 码 中 的 
明文 分 组 长 度 为 2, 密 钥 & 是 Ze 上 的 一 个 二 阶 可 逆 方 阵 , 假 设 密 钥 为 hello, 明文 为 
welcome, 试 求 密 文 。 
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对 称 密码 体系 


本 章 先 介 绍 了 对 称 密码 体系 的 概念 ,结构 和 特点 ,之 后 详细 阐述 了 对 称 密码 体系 的 两 
类 算法 : 流 密码 和 分 组 密码 。 流 密码 部 分 重点 说 明了 其 构造 算法 和 工作 原理 ; 分 组 密码 
部 分 主要 介绍 了 Feistel 密码 结构 。 然 后 通过 介绍 一 些 有 代表 性 的 加 密 算法 ,如 DES、AES 
和 IDEA, 来 强化 读者 对 对 称 加 密 算法 的 理解 。 最 后 介绍 了 分 组 密码 的 常用 工作 模式 。 


3.1 对称 密 码 体系 概述 





对 称 密码 算法 (Symmetric Algorithm) 也 称 传统 密码 算法 . 单 钥 密码 算法 , 它 包 括 许 
多 数据 加 密 方法 。 公 钥 密 码 技术 出 现 之 前 ,对 称 密码 系统 已 被 使 用 了 多 年 。 对 称 密码 体 
系 的 基本 模型 如 图 3-1 所 示 , 其 基本 特征 是 : 数据 加 密 和 解密 使 用 同一 个 密 钥 。 在 算法 
公开 的 前 提 下 所 有 秘密 都 在 密 钥 中 ,因此 密 钥 本 身 应 该 通过 另外 的 秘密 信道 传递 。 对 称 
密码 体系 的 安全 性 依赖 于 两 个 因素 : 其 一 ,加 密 算法 强度 至 少 应 该 满足 当 敌 手 已 知 算法 
时 通过 截获 密 文 不 能 导出 明文 或 者 发 现 密 钥 , 更 高 的 要 求 是 当 敌 手 即使 拥有 部 分 密 文 以 
及 相应 明文 段落 也 不 能 导出 明文 或 者 发 现 密 钥 系统 ; 其 二 ,发 送 方 和 接收 方 必须 以 安全 
的 方式 传递 和 保存 密 钥 副本 ,对 称 加 密 的 安全 性 取决 于 密 钥 的 保密 性 而 不 是 算法 的 机 
密 性 。 


























明文 辣 密 文 | 用 二 于 | 密 文 国 明文 















































发 送 方 接收 方 
图 3-1 对 称 密码 体系 的 基本 模型 


对 称 加 密 算法 可 以 分 成 两 类 : 一 类 为 流 算法 ,是 一 次 只 对 明文 中 单个 位 (有 时 为 字 
节 ) 加 密 或 解密 的 运算 ; 另 一 类 为 分 组 算法 ,是 一 次 只 对 明文 的 一 组 固定 长 度 的 字 节 加 密 
或 解密 的 运算 。 现 代 计 算 机 密码 算法 一 般 采 用 的 都 是 分 组 算法 ,一 般 分 组 的 长 度 为 64 
位 ,这 是 由 于 这 个 长 度 大 到 足以 防止 分 析 破译 ,但 又 小 到 足以 方便 使 用 。 
对 称 算法 的 加 密 和 解密 表示 为 : 
E(M)=C 
D(C)=M 
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常用 的 对 称 加 密 体系 有 五 个 组 成 部 分 。 

Q@ 明文 M: 原始 数据 信息 。 

@ 加 密 算法 Ei : 以 密 钥 为 参数 ,对 明文 M 进行 多 种 置换 和 转换 的 规则 和 步骤 , 结 
果 即 为 密 文 。 

@ 密 钥 有 : 加 密 与 解密 算法 的 参数 ,直接 影响 对 明文 进行 变换 的 结果 。 

@ 密 文 C: 对 明文 进行 变换 的 结果 。 

@ 解密 算法 D;: 加 密 算法 的 逆 变 换 ,以 密 文 C 为 输入 、 密 钥 & 为 参数 ,变换 结果 为 
明文 。 

对 称 密码 体系 的 优点 是 算法 实现 的 效率 高 .速度 快 ,缺点 是 密 钥 的 管理 过 于 复杂 。 如 
果 按 照 上 述 方法 ,任何 一 对 发 送 方 和 接收 方 都 有 他 们 各 自 商 议 的 密 钥 ,那么 很 明显 ,假设 
有 N 个 用 户 进 行 对 称 加 密 通 信 , 则 需要 产生 NCN 一 1) 把 密 钥 ,每 一 个 用 户 要 记 住 或 保留 
N 一 1 把 密 钥 , 当 N 很 大 时 , 记 住 是 不 可 能 的 ,而 保留 起 来 又 会 引起 密 钥 泄漏 可 能 性 的 增 
加 。 常 用 的 对 称 加 密 算法 有 DES、AES 和 IDEA 等 。 


3 .2 流 密 码 





321 流 密码 简介 


香农 证 明了 “一 次 一 密 ” 密 码 体制 在 理论 上 是 不 可 破译 的 ,促使 人 们 长 期 以 来 一 直 寻 
求 某 种 能 仿效 “一 次 一 密 ” 密 码 的 密码 体制 , 流 密码 就 是 所 寻求 的 方法 之 一 。 流 密码 也 称 
序列 密码 (Stream Cipher) ,具有 实现 简单 、 便 于 硬件 实施 、 加 解密 处 理 速 度 快 、 没 有 或 只 
有 有 限 的 错误 传播 等 特点 。 因 此 在 实际 应 用 中 ,特别 是 在 专用 或 机 密 机 构 中 保持 着 优势 ， 
典型 的 应 用 领域 包括 世界 军事 、 无 线 通 信 ,、 外 交通 信 。 

流 密码 加 密 时 先 将 文本 声音、 图 像 等 原始 明文 转换 成 0-1 串 , 然 后 将 它 与 密 钥 流 逐 
位 异 或 生成 密 文 流 传送 给 接收 者 ,接收 者 将 密 文 流 与 相同 的 密 钥 流 逐 位 异 或 恢复 出 明文 。 
在 流 密码 中 ,将 明文 分 成 一 定 长 度 的 分 组 ,分别 对 各 个 分 组 用 同一 密 钥 流 序列 的 不 同 部 分 
进行 加 密 产 生 相 应 的 密 文 。 相 同 的 明文 分 组 因为 处 于 明文 序列 中 的 不 同位 置 , 所 对 应 的 
密 钥 流 位 也 不 同 ,因此 会 加 密 成 不 同 的 密 文 组 。 

流 密码 系统 可 以 用 一 个 六 元 组 (M,C,K,2Z,E ,Di) 来 描述 ,其 中 ,M 表示 明文 空间 ， 
C 表示 密 文 空 间 ,K 表示 密 钥 空间 ,Z 表示 密 钥 流 生成 算法 ,E 和 D 表示 密 钥 流 与 明文 
( 密 文 ) 的 加 密 和 解密 规则 ,通常 为 异 或 运算 。 对 密 钥 &AE 天 ,由 Z 确定 一 个 密 钥 流 。 流 密 
码 系统 加 解密 的 原理 如 图 3-2 所 示 。 

流 密码 的 加 密 是 用 一 个 密 钥 流 序列 ( 伪 随 机 ) 和 明文 序列 相 异 或 来 产生 密 文 , 解 密 过 
程 相同 , 即 用 同一 密 钥 流 序列 和 密 文 序列 相 异 或 来 获得 明文 。 

设 二 进 制 序列 M 一 MiM,…M…M, 是 明文 序列 ,M;€ GF(2),i 宇 1; 二 进 制 序列 CC,… 
C.…C, 作为 密 文 比 特 流 ,C;€ GF(2) ,i 三 1; 序列 上 二 ke…k;…k, 作为 密 钥 流 序列 ,同样 k; E 
GF(2) ,i 宇 1。 加 密 过 程 可 表示 为 C; 一 M;@k;, 解 密 操 作 表 示 为 M; 一 Ci 四 及 ,人 1。 四 表 
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明文 流 …M3MoMI : 密 文 流 …C3C2C1 + 明文 流 …M3MbMI 


图 3-2 流 密码 系统 加 解密 的 原理 图 


示 按 位 异 或 运算 。 

密 钥 流 序列 的 伪 随 机 性 决定 了 流 密码 的 安全 性 。 当 密 钥 流 序列 是 由 无 记忆 离散 的 二 
进 制 均 匀 分 布 信 源 产生 的 随机 序列 时 ,产生 该 序列 的 密码 就 是 “一 次 一 密 ” 密 码 ,在 理论 上 
它 已 经 被 证 明 是 安全 的 。 但 是 ,用 产生 真正 随机 序列 的 方法 ,来 产生 完全 相同 的 随机 序列 
几乎 是 不 可 能 的 。 实 际 使 用 "一 次 一 密 ? 密 码 时 要 求 信息 的 收发 双方 必须 持 有 加 解密 信息 
所 用 的 密 钥 流 副 本 。 已 经 证 明 仅 当 密 钥 数目 与 明文 数目 至 少 一 样 多 时 光一 次 一 密 ? 才 是 
完全 保密 的 , 即 密 钥 必 须 至 少 和 明文 一 样 长 且 不 重复 使 用 。 而 很 长 的 密 钥 序列 不 便于 存 
储 和 分 配 , 流 密码 的 设计 就 是 研究 如 何 用 一 个 短 的 密 钥 生 成 一 个 周期 长 且 安 全 的 密 钥 流 。 
利用 这 种 方法 能 够 重复 产生 相同 的 密 钥 序列 ,但 产生 的 序列 不 是 真正 的 随机 序列 ,而 是 伪 
随机 的 ,这 就 要 求 伪 随机 序列 满足 真 随机 序列 的 一 些 随机 特性 。 要 实现 保密 通信 ,只 需要 
在 信息 的 发 送 方 和 接收 方 之 间 传 送 一 个 短 的 密 钥 。 


322 流 密码 的 结构 


根据 明文 和 密 文 的 消息 流 与 密 钥 流 序列 的 关系 ,可 将 流 密码 分 为 同步 流 密码 和 非 同 
步 流 密码 两 类 。 


1 同步 流 密码 
在 同步 流 密码 中 , 密 钥 流 的 产生 独立 于 明文 和 密 文 。 发 送 方 和 接收 方 只 要 有 相同 的 
密 钥 和 初始 内 部 状态 ,就 能 产生 相同 的 密 钥 流 。 同 步 流 密码 加 密 结构 如 图 3-3 所 示 。 




















明文 中， 一 MM 
Mi 
“CC 
“kakaky | 
密 钥 流 生成 器 人 
种 子 密 钥 


图 3-3 同步 流 密码 加 密 结构 
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由 于 密 钥 流 与 明文 串 无 关 , 所 以 同步 流 密码 中 的 每 个 密 文字 符 c; 不 依赖 于 之 前 的 明 
文 m;-1，,… ,nm。 所 以 同步 流 密码 的 一 个 重要 特点 就 是 无 错误 传播 : 在 传输 期 间 一 个 密 
文字 符 被 改变 只 影响 该 符号 的 恢复 ,不 会 对 后 继 的 符号 产生 影响 。 但 是 ,在 同步 流 密码 中 
发 送 方 和 接收 方 必须 是 同步 的 ,用 同样 的 密 钥 且 该 密 钥 操作 在 同样 的 位 置 时 才能 保证 正 
确 解密 。 如 果 在 传输 过 程 中 密 文 字符 有 插入 或 删除 导致 同步 丢失 , 密 文 与 密 钥 流 将 不 能 
对 齐 ,导致 无 法 正确 解密 。 要 正确 还 原 明文 , 密 钥 流 必 须 再 次 同步 。 与 同步 流 密 码 相反 ， 
自 同 步 流 密 码 有 错误 传播 现象 ,但 可 以 自行 实现 同步 。 

2 自 同 步 流 密 码 

在 自 同步 流 密码 中 , 密 钥 流 的 产生 与 之 前 已 经 产生 的 若干 密 文 有 关 , 其 加 密 结构 如 
图 3-4 所 示 。 其 中 , 密 钥 流 &; 的 生成 过 程 如 图 3-5 所 示 。 
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图 3-4 自 同 步 流 密码 加 密 结构 图 3-5 同步 流 密码 的 密 钥 流 生成 过 程 
用 函数 表示 为 : 
oi = Fl(Gin sci Cer) 
w= G(sk) 
ci = E(z;,m;) 


其 中 ,o; 是 密 钥 流 生 成 器 的 内 部 状态 (初始 状态 记 为 co); 下 是 状态 转移 函数 ; G 是 生成 密 
钥 流 的 函数 ; 已 是 自 同步 流 密码 的 加 密 变 换 , 它 是 * 与 m; 的 函数 。 

由 此 可 见 , 如 果 自 同步 流 密码 中 某 一 符号 出 现 传输 错误 , 则 将 影响 到 它 之 后 个 符号 
的 解密 运算 , 亦 即 , 自 同步 流 密码 有 错误 传播 现象 。 等 到 该 错误 移出 寄存 器 后 寄存 器 才能 
恢复 同步 ,因而 一 个 错误 至 多 影响 个 符号 。 在 & 个 密 文字 符 之 后 ,这 种 影响 将 消除 , 密 
钥 流 自行 实现 同步 。 由 于 密 文 流 参 与 了 密 钥 流 的 生成 ,使 得 密 钥 流 的 理论 分 析 复 杂 化 , 目 
前 的 流 密码 研究 结果 大 部 分 都 是 关于 同步 流 密码 的 ,因为 这 些 流 密码 的 密 钥 流 的 生成 独 
立 于 消息 流 , 从 而 使 它们 的 理论 分 析 成 为 可 能 。 


323 反馈 移 位 寄存 器 与 线性 反馈 移 位 寄存 器 


如 前 所 述 ,序列 密码 的 安全 强度 取决 于 密 钥 流 生成 器 生成 的 密 钥 流 的 安全 性 (周期 、 
游程 分 布线 性 复杂 度 等 )。 有 多 种 产生 同步 密 钥 流 生成 器 的 方法 ,最 普遍 的 是 使 用 一 种 
称 为 线性 反馈 移 位 寄存 器 (Linear Feedback Shift Register,LFSR) 的 设备 。 
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采用 LFSR 作为 基本 部 件 的 主要 原因 是 : 

Q@ LFSR 的 结构 非常 适合 硬件 实现 。 

@ LFSR 的 结构 便于 使 用 代数 方法 进行 理论 分 析 。 
@ 产生 的 序列 的 周期 可 以 很 大 。 

@ 产生 的 序列 具有 良好 的 统计 特性 。 


1 反馈 移 位 寄存 器 

图 3-6 所 示 为 一 个 反馈 移 位 寄存 器 的 流程 图 ,信号 从 左 到 右 。a 表示 存储 单元 , 取 值 
为 0 或 1,a; 的 个 数 n 称 为 反馈 移 位 寄存 器 的 级 。 在 某 一 时 刻 ,这 些 级 的 内 容 构 成 该 反馈 
移 位 寄存 器 的 一 个 状态 ,共有 2" 个 可 能 的 状态 ,每 一 个 状态 对 应 于 下 上 的 一 个 n 维 向 量 ， 
用 (ai ,az ,…*av) 表 示 。 函 数 是 一 个 元 布尔 函数 , 称 之 为 反馈 函数 。 
输出 序列 
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3-6 ”反馈 移 位 寄存 器 流程 图 


在 主 时 钟 确定 的 周期 区 间 上 ,每 一 级 存储 器 a; 都 将 其 存储 内 容 向 下 一 级 a;-1 传 递 ， 
最 右 一 级 存储 器 的 内 容 作 为 该 时 刻 的 输出 ,根据 该 时 刻 寄存 器 的 状态 计算 f(ai ,as，…， 
a ) 作 为 最 左 一 级 寄存 器 在 下 一 时 刻 的 内 容 。 显 然 ,一 个 反馈 移 位 寄存 器 的 逻辑 功能 完全 
由 该 移 位 寄存 器 的 反馈 函数 所 标志 。 


2 线性 反馈 移 位 寄存 器 

如 果 反 馈 函 数 形 如 Fa ,as an) 一 ca 四 co ia 四 … 中 ma, 其 中 ,系数 ci 一 0,1, 这 
里 的 加 法 运算 为 模 2 加 ,乘法 运算 为 普通 乘法 , 则 称 该 反馈 函数 是 a ,as,… ,a, 的 线性 函 
数 ,对 应 的 反馈 移 位 寄存 器 称 为 线性 反馈 移 位 寄存 器 ,用 LFSR 表示 。 否 则 , 称 为 非 线性 
反馈 移 位 寄存 器 (Non-Linear Feedback Shift Register,NLFSR)。LFSR 的 示意 图 如 图 3-7 
所 示 。 


















































输出 序列 
































图 3-7 线性 反馈 移 位 寄存 器 流程 图 


显然 ,根据 LFSR 中 反馈 函数 的 系数 c(i 二 1,…,n) 取 值 的 不 同 ,这 样 的 反馈 函数 有 
2" 种 。 令 ai(?) 表 示 t 时 刻 第 i 级 寄存 器 的 内 容 , 则 第 1 十 1 时 刻 寄 存 器 的 内 容 为 : 
ai(t+1)=amn()), i=1,2,…,n—1 
aa(ti1) = cailt) DB easlt) BD aa,lt) 
通常 称 多 项 式 cuz" 十 cz 十 … 十 cz 十 1 为 上 述 LFSR 的 特征 多 项 式 。 
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LFSR 的 特征 多 项 式 与 它 的 反馈 函数 是 一 一 对 应 的 ,如 果 知道 了 LFSR 的 特征 多 项 
式 , 便 立 即 可 以 求 得 该 移 位 寄存 器 的 反馈 丙 数 ,反之 亦 然 。 
例 3-1 图 3-8 为 一 个 4 级 线性 反馈 移 位 寄 [ar| [5 [| -[6 


存 器 ,状态 转移 关系 为 : 输出 序列 
Wit DD = 了 研 交 站 = 


as(t 十 1) 一 aa(t) Bal) 
假设 初始 状态 为 (a1 ,as ,as ,ai ) 一 (0,1,1,0)， 图 3-8 4 级 线性 反馈 移 位 寄存 器 示例 


则 可 根据 反馈 函数 计算 出 该 线性 反馈 移 位 寄存 器 在 各 时 刻 的 所 有 状态 ,如 表 3-1 所 示 。 
表 3-1 各 时 刻 的 所 有 状态 

































































t a as a al t as as Q2 a 
0 0 1 1 0 8 1 和 1 0 
1 0 0 1 3 9 和 1 1 
2 1 0 0 和 10 0 1 1 
3 0 1 0 0 11 | 0 1 1 
4 0 0 1 0 12 0 1 0 1 
5 0 0 0 1 13 了 0 0 
6 1 0 0 0 14 1 1 0 1 
人 1 1 0 0 15 0 1 二 0 



































由 计算 过 程 可 见 , 在 :一 15 时 刻 该 寄存 器 的 状态 恢复 至 :一 0 时 刻 的 状态 ,因此 之 后 的 状 
态 将 开始 重复 。 这 个 移 位 寄存 器 输出 的 序列 就 是 011001000111101011001000111101……… 
序列 的 周期 为 15 ,也 称 该 移 位 寄存 器 的 周期 为 15( 一 2 一 1) 。 

为 了 从 直观 上 描述 这 一 LFSR 的 状态 转移 情况 ,可 以 使 用 一 些 方 框 以 及 连接 这 些 方 
框 的 箭头 组 成 的 图 形 , 即 为 状态 转移 图 ,如 图 3-9 所 示 。 
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图 3-9 状态 转移 图 
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例 3-2 图 3-10 所 示 是 一 个 特征 多 项 式 为 x 十 x 十 1 的 线性 反馈 移 位 寄存 器 。 























“| a -| pr 
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3-10 ”3 级 线性 反馈 移 位 寄存 器 示例 


根据 特征 多 项 式 可 知 , 该 LFSR 的 反馈 函数 为 f(ai ,as ,a;) 二 a1 昌 a3。 假 设 初始 状态 
为 (al saz as) 二 (1,1,1) ,其 状态 转移 图 如 图 3-11 所 示 。 


AN 


110 011 


Cs 


到 001 上 -| 00 


图 3-11 3 级 LFSR 的 状态 转移 图 


在 状态 转移 图 中 ,从 初始 状态 开始 , 沿 着 箭头 所 指示 的 路 径 依次 取出 最 右边 的 分 量 便 
得 到 该 LFSR 的 输出 序列 : 1110100 1110100……- ,周期 为 7( 一 2 一 1) 。3 级 移 位 寄存 器 
的 所 有 可 能 状态 数 为 2 一 8 ( 含 状 态 (0,0,0)) ,而 本 例 中 从 初始 状态 (1,1,1) 开 始 可 以 得 
到 所 有 非 (0,0,0) 的 状态 。 

若 以 状态 转移 图 中 任 一 状态 作为 初始 状态 , 沿 箭头 所 指示 的 路 径 依 次 取出 最 右边 的 
分 量 还 可 得 到 另外 6 个 序列 : 1101001 1101001……;，1010011 1010011……;，0100111 
0100111……;，1001110 1001110……;， 0011101 0011101……; 0111010 0111010……。 全 
部 7 个 序列 取 自 同一 个 状态 转移 图 ,将 这 7 个 序列 之 一 经 过 适当 的 移 位 可 以 得 到 其 余 任 
一 序列 , 称 这 7 个 序列 是 移 位 等 价 的 。 

例 3-3 图 3-12 所 示 为 一 个 4 级 LFSR, 其 特征 多 项 式 为 x 十 十 zx? 十 x 十 1。 

@ 如 取 初 始 状态 为 (aaz ,as ai) 一 (1,1,1,1), 则 其 状态 转移 图 如 图 3-13 所 示 。 
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| 04 | 0 = 人 en 0 sr 1110 0111 
| 输出 序列 \ 
图 3-12 4 级 LFSR 图 3-13 初始 状态 转移 图 一 


对 应 的 输出 序列 为 11110 11110……: :周期 为 5。 
@ 如 取 初始 状态 为 (al ,az ,as ,ai) 一 (0,0.0.1) , 则 其 状态 转移 图 如 图 3-14 所 示 。 
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对 应 的 输出 序列 为 00011 00011…… ,周期 为 5。 
@ 如 取 初 始 状 态 为 (a1 ,as ,as ,ai) 王 (1,0,1,0), 则 其 状态 转移 图 如 图 3-15 所 示 。 














































































































0001 1100 1010 0010 
0 上 一 on 0100 1001 
图 3-14 初始 状态 转移 图 二 3-15 初始 状态 转移 图 三 


对 应 的 输出 序列 为 10100 10100…… ,周期 为 5。 
以 上 15 个 状态 连同 状态 (0,0.0,0) 即 为 4 级 移 位 寄存 器 所 有 可 能 的 2 一 16 个 状态 。 


324 m 序 列 及 其 伪 随 机 性 


1 m 序 列 与 最 长 线性 移 位 寄存 器 

根据 LFSR 的 状态 转移 图 可 以 看 出 ,一 个 级 LFSR 序列 的 周期 最 大 只 能 为 2" 一 1: 
有 的 LFSR 序列 周期 可 能 远 小 于 这 个 值 ,但 也 有 的 LFSR 序列 的 周期 可 以 达到 这 个 值 。 
如 果 以 GF(2) 上 次 多 项 式 c zr" 十 c,_17”! 十 … 十 cx 十 1 为 连接 多 项 式 的 nn 级 LFSR 所 
产生 的 非 零 序列 的 周期 为 2" 一 1, 则 称 这 个 序列 为 n 级 最 大 周期 线性 移 位 寄存 器 序列 , 简 
称 m 序列。 显然 ,如 果 一 个 n 级 LFSR 产生 了 mm 序列 , 则 该 LFSR 的 状态 转移 图 仅 由 两 
个 圈 构 成 ,其 中 一 个 是 由 全 零 状态 构成 的 长 度 为 1 的 圈 , 另 一 个 是 由 全 部 其 余 2" 一 1 个 状 
态 构成 的 长 度 为 2" 一 1 的 圈 。 换 句 话 说 ,如 果 一 个 nn 级 LFSR 输出 的 非 零 序 列 是 mm 序列， 
则 其 余 2 一 2 个 非 零 序列 也 是 mm 序列 ,它们 一 起 构成 了 一 个 移 位 等 价 类 。 这 里 把 产生 周 
期 为 2 一 1 的 mm 序列 的 n 级 LFSR 称 为 最 长 线性 移 位 寄存 器 。 

显而易见 ,一 个 序列 是 否 是 m 序列 应 当 与 产生 这 一 序列 的 LFSR 的 连接 多 项 式 有 密 
切 的 关系 。 事 实 上 ,已 证 明 下 面 的 结论 是 正确 的 : 如 果 以 GF(2) 上 nn 次 多 项 式 c,x" 十 
car 十 … 十 cz 十 1 为 连接 多 项 式 的 nn 级 LFSR 所 产生 的 非 零 序列 是 m 序列 , 则 
caz" 十 caz 十 … 十 cz 十 1 必 为 GF(2) 上 的 不 可 约 多 项 式 。 这 一 结果 表明 一 个 LFSR 
为 最 长 移 位 寄存 器 的 必要 条 件 是 它 的 连接 多 项 式 为 不 可 约 多 项 式 。 

但 是 ,连接 多 项 式 为 不 可 约 的 假设 尚 不 足以 保证 该 LFSR 输出 的 非 零 序 列 是 冯 序 
列 。 例 如 ,对 于 GF(2) 上 4 次 不 可 约 多 项 式 x 十 x 十 zx? 十 x 十 1, 对 应 的 LFSR 的 非 零 序 
列 周 期 为 5, 而 非 2: 一 1]。 关 于 m 序列 的 充分 必要 条 件 是 ; 以 GF(2) 上 nn 次 多 项 式 c,zx" 十 
caz 十 … 十 cz 十 1 为 连接 多 项 式 的 nn 级 LFSR 所 产生 的 非 零 序列 是 m 序列 全 cz" 十 
GiX" 十 … 十 cz 十 1 为 GF(2) 上 的 nn 次 本 原 多 项 式 。 

因此 ,一 个 nn 级 LFSR 为 最 长 移 位 寄存 器 的 充 要 条 件 是 它 的 连接 多 项 式 为 GF(2) 上 
的 nn 次 本 原 多 项 式 。 例如, 多项式 式 十 zx 十 1 是 GF(2) 上 的 3 次 本 原 多 项 式 ,可 以 验证 以 
此 为 连接 多 项 式 的 LFSR 的 输出 序列 均 为 m 序列 。 在 实践 中 ,经 常 使 用 GF(2) 上 的 本 原 
三 项 式 ,这 是 因为 它 只 需要 一 个 抽 头 ,所 以 电路 设计 最 简单 。 
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由 以 上 的 讨论 可 知 , 本 原 多 项 式 的 概念 不 论 是 在 理论 上 还 是 实践 上 均 起 重要 作用 。 
由 代数 学 的 知识 知道 , 当 2" 一 1 为 素数 时 ,GF(2) 上 的 每 一 个 nn 次 不 可 约 多 项 式 均 为 n 次 
本 原 多 项 式 。 形 如 2" 一 1 的 素数 称 为 梅森 (Mersenne) 数 ,如 二 2,3,5,7,13 等 。 


2 m 序 列 的 安全 性 

LFSR 的 输出 序列 就 是 流 密码 的 密 钥 流 。 一 个 LFSR 可 以 输出 足够 长 的 二 进 制 位 以 
匹配 明文 的 二 进 制 位 。 要 解密 密 文 ,只 需要 运行 具有 相同 初始 状态 的 LFSR 即 可 。 对 于 
给 定 的 整数 ,由 于 wm 序列 是 周期 最 长 的 ,是 否 可 以 用 m 序列 直接 作为 密 钥 流 实现 流 密 
码 ? 或 者 说 将 LFSR 作为 密码 序列 产生 器 ,安全 吗 ? 下 面 通过 一 个 简单 的 例子 来 描述 m 
序列 直接 在 流 密码 中 使 用 时 可 能 遇 到 的 问题 。 

例 3-4 m 序列 的 破译 。 假 设 在 某 个 流 密码 体制 中 ,其 密 钥 流 生成 器 是 一 个 5 级 
LFSR, 如 图 3-16 所 示 。 设 攻击 者 得 到 密 文 串 10110 10111 和 相应 的 明文 串 01100 
11111, 并 知道 该 流 密码 体制 中 的 LFSR 是 5 级 的 。 因 此 ,攻击 者 可 计算 出 相应 使 用 的 密 
钥 流 为 11010 01000。 











输出 序列 


3-16 5 级 LFSR 

















由 于 

as 一 5c5al 十 ctas 十 csas 十 Coa4 十 clas 

ay 三 Csadz 十 cias 十 csa4 十 Czas 十 clas 

as = 5c54s 十 cdai 十 csas 十 czas 十 clay 

ae 一 csa4 十 ctas 十 csae 十 Czar 十 Clas 

alo 三 Csas 十 ctae 十 csay 十 caasg 十 clas 

攻击 者 可 根据 密 钥 流 建立 如 下 方程 组 : 

0 一 csl 十 cs1 十 cs0 十 czs1 十 ci0 (1) 
1 一 csl 十 ci0 十 csl 十 cz0 十 ci0 (2) 
0 一 cs0 十 cs1 十 cs0 十 cz0 十 cil (3) 
0 一 csl1 十 ct0 十 cs0 十 cz1 十 cli0 (4) 
0 一 cs0 十 cs0 十 cs1 十 cz0 十 ci0 《5 














由 (5) 知 cs 二 0; 从 而 由 (2) 知 cs 二 1; 从 而 由 (4) 知 co 二 1; 从 而 由 (1) 知 c= 二 0; 从 而 
由 (3) 知 ci 二 0。 这 样 ,攻击 者 就 知道 了 该 LFSR 的 具体 结构 。 

攻击 者 利用 这 一 结构 和 已 经 掌握 的 部 分 密 钥 流 ,就 可 以 计算 出 之 后 所 有 的 密 钥 序列 。 
因此 ,相应 的 流 密码 毫 无 安全 性 可 言 。 

上 述 分 析 可 以 推广 到 一 般 情况 : 对 于 一 个 级 的 LFSR, 如 果 攻 击 者 可 以 得 到 2n 个 
明文 - 密 文 对 ,就 可 以 获得 该 LFSR 的 具体 代数 结构 。 
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3 Gonb 随机 性 假设 

流 密码 的 安全 性 取决 于 密 钥 流 的 安全 性 ,要 求 密 钥 流 序列 有 好 的 随机 性 ,以 使 密码 分 
析 者 对 它 无 法 预测 。 也 就 是 说 ,即使 截获 其 中 一 段 , 也 无 法 推测 后 面 是 什么 。 如 果 密 钥 流 
是 周期 的 ,要 完全 做 到 随机 性 是 困难 的 。 严 格 地 说 ,这 样 的 序列 不 可 能 做 到 随机 ,只 能 要 
求 截获 比 周期 短 的 一 段 密 钥 流 时 不 会 泄露 更 多 信息 ,这 样 的 序列 称 为 伪 随 机 序列 。 之 所 
以 把 这 种 序列 称 为 伪 随 机 序列 ,是 因为 产生 这 种 序列 是 按照 完全 确定 的 方式 进行 的 ,而 不 
像 随机 序列 那样 元 素 的 出 现 是 随机 的 。 

下 面 先 说 明 游程 的 概念 : 设 {a;} 二 (arazas…) 为 0、1 序列 ,例如 00110111, 其 前 两 个 数 
字 是 00, 称 为 0 的 2 游程 ; 接着 是 11, 是 1 的 2 游程 ; 再 下 来 是 0 的 1 游程 和 1 的 3 游程 。 

Golomb 提出 了 度量 伪 随 机 序列 随机 性 的 三 条 规则 , 称 为 Golomb 随机 性 假设 。 简 单 
起 见 ,假设 所 述 伪 随 机 序列 为 二 元 序列 al ,as，… ,ai,…,a,，…(aiE€ 10,1)) ,其 周期 为 n。 

Q@ 在 每 一 周期 内 ,0 的 个 数 与 1 的 个 数 近似 相等 。 

@ 在 每 一 周期 内 ,长 度 为 i 的 游程 数 占 游程 总 数 的 1/2 。 


@ 定义 自 相关 函数 为 C(7) 一 > Dm , 这 是 一 个 二 值 丽 数 ， 


n, t=0 modn 
C(7)= ,其 值 c 为 一 个 常数 。 
c， 其 他 


例如 ,在 周期 为 7 的 序列 1110010…… 中 ,每 一 周期 内 有 4 个 1,3 个 0,4 个 游程 , 且 有 
2 个 长 度 为 1 的 游程 1 个 长 度 为 2 的 游程 .1 个 长 度 为 3 的 游程 。 自 相关 函数 为 : 


7， tr 三 0 modn 


一 1， 其 他 
m 序列 是 满足 Golomb 随机 性 假设 的 典型 代表 。 


4 m 序 列 的 伪 随 机 性 

m 序列 之 所 以 在 电子 工程 的 许多 领域 获得 广泛 的 应 用 ,主要 是 由 于 它 具 有 与 随机 序 
列 类 似 的 性 质 ,满足 Golomb 的 三 个 随机 性 假设 。 下 面 不 加 证 明 地 给 出 其 相应 的 结论 , 感 
兴趣 的 读者 可 以 自己 尝试 给 出 其 正确 性 证 明 。 

@ 在 nn 级 mm 序 列 的 一 个 周期 段 内 ,1 出 现 的 次 数 恰 为 2” ,0 出 现 的 次 数 恰 为 2 一 一 1。 

@ 在 ?级 交 2 序列 的 一 个 周期 段 内 ,游程 总 数 为 2 ; 长 为 k(1 三 kn 一 2) 的 0- 游程 
(或 1- 游程 ) 数 为 2 “; 长 为 2 一 1 的 游程 具有 1 个 ,为 0- 游程 ; 长 为 n 的 游程 也 只 有 
1 个 ,为 1- 游 程 。 

@ 自 相关 函数 是 二 值 的 , 且 为 : 

ly edmod(2 = 


—1 其 他 
需要 说 明 的 是 ,对 于 密 钥 流 序列 而 言 ,Golomb 随机 性 假设 只 是 判别 二 元 周期 序列 的 
随机 性 标准 的 必要 条 件 , 并 不 是 充分 的 。 这 是 因为 ,由 其 中 很 小 一 部 分 就 可 简单 地 确定 出 
整个 密 钥 序 列 。 
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5 线性 复杂 度 

除了 要 求 伪 随机 序列 具有 长 周期 满足 Golomb 的 三 个 随机 性 假设 外 ,还 要 求 适用 于 
流 密码 的 伪 随 机 序列 满足 高 的 线性 复杂 度 (Linear Complexity)。 给 定 二 元 序列 ol ,az ,…， 
qi oan，"…(aiE10,1)), 其 线性 复杂 度 定义 为 能 够 输出 该 序列 的 最 短线 性 移 位 寄存 器 
的 级 数 。 

例如 ,给 定 序列 011 011……: ,连接 多 项 式 为 x? 十 x 十 1 的 LFSR 可 以 生成 该 序列 , 连 
接 多 项 式 为 十 1 的 LFSR 也 可 以 生成 该 序列 。 但 连接 多 项 式 为 x 十 1 的 LFSR 则 无 法 
做 到 这 一 点 ,所 以 ,该 序列 的 线性 复杂 度 为 2。 序列 线性 复杂 度 的 概念 在 密码 学 中 的 重要 
意义 是 通过 以 下 结论 体现 出 来 的 : 如 果 序 列 的 线性 复杂 度 为 1(1 三 1) , 则 只 要 知道 序列 中 
任意 相继 的 2: 位 ,就 可 确定 整个 序列 。 由 此 可 见 , 序 列 线性 复杂 度 是 流 密码 安全 性 的 重 
要 指标 ,作为 密 钥 流 序列 ,其 线性 复杂 度 很 小 是 不 安全 的 。 通 常 认为 一 个 安全 的 密 钥 流 应 
该 满足 以 下 三 个 基本 条 件 : 周期 充分 长 ; 随机 统计 特性 好 ( 即 基本 满足 Golomb 的 随机 性 
假设 ); 线性 复杂 度 大 。 这 里 长 周期 一 般 指 不 少 于 10” ,而 线性 复杂 度 为 序列 长 度 的 一 半 
是 比较 合适 的 。 


325 线性 移 位 寄存 器 的 非 线 性 组 合 


由 于 直接 使 用 LFSR 的 m 序列 是 不 安全 的 ,因此 线性 移 位 寄存 器 序列 不 能 直接 作为 
密 钥 流 使 用 。 如 果 在 LFSR 的 基础 上 加 入 非 线 性 化 的 手段 , 便 可 产生 适合 于 流 密码 应 用 
的 密 钥 序 列 。 

为 了 使 密 钥 流 生 成 器 输出 的 二 元 序列 尽 可 能 复杂 ,应 保证 其 周期 尽 可 能 大 ` 线 性 复杂 
度 和 不 可 预测 性 尽 可 能 高 , 常 使 用 多 个 LFSR 来 构造 二 元 序列 , 称 每 个 LFSR 的 输出 序列 
为 驱动 序列 。 这 样 LFSR 作为 驱动 源 以 其 输出 推动 了 一 个 非 线性 组 合 函 数 所 决定 的 电路 
产生 出 非 线性 序列 。 实 际 上 ,这 就 是 所 谓 的 非 线 性 前 馈 序 列 生成 器 。 线 性 移 位 寄存 器 用 
来 保证 密 钥 流 的 周期 长 度 , 非 线性 组 合 函 数 用 来 保证 密 钥 流 的 各 种 密码 性 能 ,以 抗击 各 种 
可 能 的 攻击 。 许 多 专用 流 密码 算法 都 是 用 这 种 方法 构成 ,通常 可 将 这 种 方法 分 为 三 类 : 
滤波 生成 器 组 合生 成 器 和 钟 控 生成 器 。 

1 滤波 生成 器 

滤波 生成 器 (Filter Generator) 是 一 种 常见 的 密 钥 流 生成 器 ,由 一 个 n 级 线性 移 位 寄 
存 器 和 一 个 m(m 二 n) 元 非 线 性 滤波 函数 组 成 ,滤波 函数 的 输出 为 密 钥 流 序列 ,工作 模式 
如 图 3-17 所 示 。 

这 里 g 为 一 个 m 元 布尔 函数 ,其 输入 由 LFSR 中 的 一 部 分 抽 头 构成 ,其 输出 构成 整 
个 生成 器 的 输出 。 


2 组 合生 成 器 
在 序列 密码 设计 和 分 析 中 ,组 合生 成 器 (Combinatorial Generator) 也 有 着 广泛 的 应 
用 , 它 由 若干 线性 移 位 寄存 器 LFSR; (i 一 1,…,n) 和 一 个 非 线性 组 合 函 数组 成 ,组 合 函 数 
的 输出 构成 密 钥 流 序列 。 组 合生 成 器 工作 模式 如 图 3-18 所 示 。 
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图 3-17 滤波 生成 器 工作 模式 图 3-18 组 合生 成 器 工作 模式 


其 中 ,LFSR;Gi 二 1,…,n) 为 nn 个 级 数 分 别 为 ri ,ro，… ,rs 的 线性 移 位 寄存 器 ,相应 的 移 位 
寄存 器 序列 为 {a; } Gi 二 1,…,n)。 函 数 FCzz ,x,) 是 nn 元 布尔 函数 。 令 此 =f(a, 
az "oan )， 则 {k;} 即 为 该 组 合生 成 器 的 输出 。 

使 用 组 合生 成 器 可 以 极 大 地 提高 序列 的 周期 。 事 实 上 ,如 果 ,rs,…,r 两 两 互 素 ， 


函数 /Ce ,zsa) 与 各 变 元 均 有 关 , 则 { 心 } 的 周期 为 T[ (2% 一 1)， 


3 钟 控 生成 器 

钟 控 方 法 设计 密 钥 流 生 成 器 的 基本 思想 是 : 用 一 个 或 多 个 移 位 寄存 器 来 控制 另 一 个 
或 多 个 移 位 寄存 器 的 时 钟 ,这 样 的 序列 生成 器 称 为 钟 控 生成 器 (Clock-Controlled 
Generator) 。 最 终 的 输出 称 为 钟 控 序 列 ,基本 模型 如 图 3-19 所 示 。 


时 钟 脉 冲 
LFSRI 
ya 输出 序列 


—™| LFSR;, 癌 
Ci 






































3-19 ” 钟 控 序列 生成 器 基本 模型 


假设 LFSR 和 LFSR; 分 别 输出 序列 {a } 和 {5b)。 当 LFSR 输出 1 时 , 移 位 时 钟 脉 
冲 通 过 与 门 使 LFSR; 进行 一 次 移 位 ,从 而 生成 下 一 位 。 当 LFSRi 输出 0 时 , 移 位 时 钟 脉 
冲 无 法 通过 与 门 影响 LFSR ,因此 LFSR 重复 输出 前 一 位 。 

例如 ,假设 LFSR, 输出 周期 序列 10101 10101…… ,LFSR， 输出 周期 为 3 的 序列 wo ， 
ad yaoyalyd,…, 则 上 述 钟 控 生成 器 输出 的 钟 控 序 列 为 co ,ao ,al al,azyaoyaoyaiyal， 
as，… ,周期 为 5 

交错 停 走 式 生成 器 也 是 一 种 钟 控 生 成 器 。 这 个 生成 器 使 用 了 3 个 不 同 级 数 的 移 位 寄 
存 器 ,如 图 3-20 所 示 。 

当 LFSR; 的 输出 是 1 时 ,LFSR; 被 时 钟 驱动 ; 当 LFSR; 的 输出 是 0 时 ,LFSRs 被 时 
钟 驱动 。 最 后 ,LFSRi 的 输出 与 LFSR。 的 输出 做 异 或 运算 即 为 这 个 交错 停 走 式 生成 器 
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二 = LFSR。 


输出 序列 
时 钟 脉 冲 一 上 LEFSR， 站 3 
-二 LFSRs % 


3-20 ”交错 停 走 式 生成 器 
的 输出 ,输出 的 序列 具有 长 周期 和 大 的 线性 复杂 度 。 
除 利用 LFSR 的 良好 结构 设计 伪 随 机 序列 生成 器 之 外 ,还 有 其 他 一 些 基 于 数论 或 有 
限 域 的 知识 构造 的 伪 随 机 序列 。 这 些 生 成 器 所 依赖 的 数学 工具 可 对 它们 的 周期 .随机 统 
计 特 性 ,线性 复杂 度 等 进行 理论 分 析 。 


Ss 分 组 密码 


















































331 分 组 密码 概述 


在 许多 密码 系统 中 ,分 组 密码 是 系统 安全 的 一 个 重要 组 成 部 分 。 分 组 密码 易于 构造 
伪 随 机 数 生成 器 \ 流 密码 、 消 息 认 证 码 (MAC) 和 杂凑 函数 等 ,还 可 进而 成 为 消息 认证 技 
术 ,数据 完整 性 机 制 、 实 体 认 证 协议 以 及 单 钥 数字 签字 体制 的 核心 组 成 部 分 。 

分 组 密码 是 将 明文 消息 编码 表示 后 的 数字 序列 zo ,zz ，… ,zi;，… 划 分 成 长 为 n 的 组 
工 三 (zoyTio""* Tw-1) ,各 组 (长 为 n 的 量 ) 分 别 在 k= 二 (ko ,ki ，… ,ki) 控 制 下 变换 成 等 长 
的 输出 数字 序列 y= 二 (yo ,yw ,ym_1)( 长 为 m 的 量 ) ,其 加 密 函 数 EE:V, XK>V, ,VV 为 n 
维 明 文 空间 ,V， 为 m 维 密 文 空间 ,K 为 密 钥 空 间 , 如 图 3-21 所 示 。 


密 钥 寻 (b， 后 ，… ，k1) 密 钥 三 (to, hh … ， 1) 





图 3-21 分 组 密码 框图 


分 组 密码 与 流 密码 的 不 同 之 处 在 于 : 输出 的 每 一 位 数字 不 是 只 与 相应 时 刻 输入 的 
明文 数字 有 关 , 而 是 与 一 组 长 为 n 的 明文 数字 有 关 。 在 相同 密 钥 下 ,分 组 密码 对 长 为 n 的 
输入 明文 组 所 实施 的 变换 是 等 同 的 ,所 以 只 需 研 究 对 任 一 组 明文 数字 的 变换 规则 。 这 种 
密码 实质 上 是 字 长 为 n 的 数字 序列 的 代 换 密码 。 通 常 取 mm 二 n。 若 mm 二 n, 则 为 有 数据 扩 
展 的 分 组 密码 ; 若 mn, 则 为 有 数据 压缩 的 分 组 密码 。 下 面 介绍 设计 分 组 密码 时 的 一 些 
常用 方法 。 
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1 代 换 


设 明文 和 密 文 的 分 组 长 都 为 比特 , 则 明文 的 每 一 个 分 组 都 有 2" 个 可 能 的 取 值 。 为 
使 加 密 运 算 可 逆 , 明 文 的 每 一 个 分 组 都 应 产生 唯一 的 一 个 密 文 分 组 ,这 样 的 变换 是 可 道 


的 , 称 明文 分 组 到 密 文 分 组 的 可 逆 变 换 为 代 换 。 不 同 可 逆 变 换 的 个 数 有 2”"! 个 。 


图 3-22 表示 nn 二 4 的 代 换 密码 的 一 般 结构 ,4 比特 输入 产生 16 个 可 能 输入 状态 中 的 
一 个 ,由 代 换 结构 将 这 一 状态 映射 为 16 个 可 能 输出 状态 中 的 一 个 ,每 一 输出 状态 由 4 个 
比特 表示 。 加 密 映 射 和 解密 映射 可 由 代 换 表 来 定义 ,如 表 3-2 所 示 。 这 种 方法 是 定义 分 

























































































组 密码 最 简单 的 常用 形式 。 
| | 4 比特 输入 | | 
01234567891011213 14 15 
T1111 1 1 | 
DTY | 
| | 4tt 特 给 出 1 
图 3-22 x 一 4 的 代 换 结构 
表 3-2 mn 一 4 对 应 的 代 换 表 
明文 密 文 明文 密 文 
0000 1110 1000 0011 
0001 0100 1001 1010 
0010 1101 1010 0110 
0011 0001 1011 1100 
0100 0010 1100 0101 
0101 1111 1101 1001 
0110 1011 1110 0000 
0111 1000 1111 0111 
2 扩散 和 混淆 


扩散 和 混淆 是 由 信息 论 创 始 人 香农 提出 的 设计 密码 系统 的 两 个 基本 方法 ,目的 是 抗 
击 敌 手 对 密码 系统 的 统计 分 析 。 如 果 敌 手 知道 明文 的 某 些 统计 特性 ,如 消息 中 不 同 字 母 
出 现 的 频率 、 可 能 出 现 的 特定 单词 或 短语 ,而 且 这 些 统计 特性 以 某 种 方式 在 密 文中 反映 出 
来 ,那么 敌手 就 有 可 能 得 出 加 密 密 钥 或 其 一 部 分 ,或 者 得 出 包含 加 密 密 钥 的 一 个 可 能 的 密 
钥 集 合 。 在 香农 称 之 为 理想 密码 的 密码 系统 中 , 密 文 的 所 有 统计 特性 都 与 所 使 用 的 密 钥 


独立 。 
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所 谓 扩 散 , 就 是 将 明文 的 统计 特性 散布 到 密 文 中 去 ,实现 方式 是 使 得 明文 的 每 一 位 影 
响 密 文 中 多 位 的 值 , 即 密 文中 每 一 位 均 受 明文 中 多 位 影响 。 例如 ,对 英文 消息 M= 
mmzma"…， 对 字符 Cn 的 加 密 操作 为 : 

cn = ms 四 zx72rH Dom DO … Dum 

上 式 表示 密 文字 母 , 由 明文 中 连续 & 个 字母 进行 模 26 相 加 所 得 。 这 样 使 密 文中 各 
字母 出 现 的 频率 特征 较为 平均 ,敌手 无 从 猜测 其 中 的 关键 短语 或 者 词汇 。 单 纯 的 扩散 较 
容易 被 敌手 攻破 。 混 淆 试图 使 密 文 的 统计 特征 与 密 钥 取 值 的 关系 尽量 复杂 ,实现 混淆 的 
常用 方法 是 代 换 。 要 注意 的 是 线性 变换 起 不 到 有 效 的 混淆 效果 。 

流 密码 通过 反馈 设计 加 入 了 一 些 扩散 ,但 它 主要 依赖 于 混淆 。 分 组 密码 算法 既 用 到 
了 扩散 ,也 用 到 了 混淆 。E. Schaefer(1996) 为 教学 目的 提出 了 一 个 简化 的 DESCS-DES) 
加 密 算 法 ,这 个 算法 非常 具体 地 说 明了 分 组 密码 中 如 何 实施 扩散 和 混淆 。 

S-DES 加 密 算 法 以 10 位 密 钥 和 8 位 明文 分 组 为 输入 ,产生 8 位 分 组 密 文 输出 。 其 解 
密 算法 用 同一 密 钥 对 8 位 密 文 分 组 产生 原来 的 明文 分 组 。 图 3-23 给 出 了 S-DES 算法 
流程 。 






























































10 位 密 钥 
加 密 解密 
P10 
8 位 明文 8 位 明文 

移 位 
IP-! 
[ 
| 
SW 
i 
大 
下 
1 
8 位 密 文 8 位 密 文 


3-23 SDES 算法 流程 


S-DES 加 密 算法 步 又 如 下 。 
Q@ 对 输入 的 8 位 明文 分 组 m 执行 初始 置换 IP(Cm) 。 
@ 执行 一 个 包含 置换 .替代 操作 且 依 赖 于 密 钥 的 变换 fi 。 
@ 将 数据 进行 左右 4 位 两 半 部 分 交换 SW 。 
@ 结果 再 执行 fi 。 
@ 最 后 执行 IP 一 产生 逆 密 文 输出 ,并且 

c= IP?(fs, CSWCP (PGm))))) 
解密 是 加 密 的 着 变 换 , 即 

m= IP™ (fi (SW(fi, CIPCc)))) 

其 中 , 密 钥 和 都 是 8 位 子 密 钥 , 由 10 位 输入 密 钥 产 生 。 
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信息 安全 技术 ”El 
(1) S-DES 密 钥 的 生成 10 位 密 钥 
S-DES 密 钥 是 一 个 10 位 码 , 由 发 送 、 接 收 双 方 共享 。 两 tr 
个 8 位 子 密 钥 由 10 位 输入 密 钥 按照 图 3-24 所 示 的 流程 生成 。 P10 
子 密 钥 .ks 生成 过 程 如 下 。 本 1s 
第 1 步 : 对 10 位 码 m 中 进行 10 阶 置换 P10。 置 换 P10 Si DS] 
定义 为 : 
A 2 | NB 
P10= ( ] 和 | 
3,5,2,7,4,10,1,9,8,6 1 | 
即 对 m= (6 ,6 ,bs ,bi ,bs ,be ,07 »bs sb bio) sm = P10Cm) = (bs, LS-2 LS-2 ] 
bs ,bs »b7 ,ba bio sbi bo »bs 06)。 : 两 
例如 ,P10(1010000010) 一 (1000001100) 。 六 一 二 J 


第 2 步 : 将 mi 看 作 左 右 两 个 5 位 码 mr 和 mir， 即 /i 
mr 上 mr, 分 别 循 环 左 移 一 次 (LS 一 1,LS 表示 左 移 循环 ) , 输 
出 ms 仍 为 10 位 码 。 如 上 例 ,ms = 二 LS 一 1 Gra) 上 LS 一 1Gmr) 二 (0000111000)。 

第 3 步 ; 做 10 位 转 8 位 置换 。P8(b ,bs ,bs ,bs ,bs ,be ,bi ,bs ,bs ,bi0)= (be ,bs ,07 04 ， 
bs ,bs ,bio yb) 得 子 密 钥 和 。 如 上 例 , 必 一 P8Cma ) 一 P8(0000111000) 王 (10100100) 。 

第 4 步 : 将 m2 看 作 左 右 两 个 5 位 码 mzr 和 mzr， 即 m2 一 7722L | mzg ,分 别 循环 左 移 二 
次 (LS 一 2), 输 出 ms 仍 为 10 位 码 。 如 上 例 , ms 二 LS 一 2 (mL) ‖ LS 一 2 (mr) 一 
(0010000011)。 

第 5 步 : 对 ms 做 10 位 转 8 位 置换 P8, 得 子 密 钥 二 P8Gms)。 如 上 例 ,ks 二 P8Cms) 二 
P8(0010000011)= (01000011)。 

(2) S-DES 加 密 操作 

S-DES 加 密 操作 首先 执行 一 个 8 位 的 置换 IP: 

二 三 es 
oval 

即 IP(b ,52 ,53,54 bs ,be ,07 bs) 二 (bo ,be ,0 ,0 02s ,bs:b1)。 将 IP 上 下 两 行 互 换 , 即 得 
IP 的 逆 置 换 IP-:,IP-(IP(Cz)) 一 z。 加 密 操 作 中 最 复杂 的 是 fi ,fi 是 若干 置换 和 代 换 的 
组 合 。 如 图 3-25 所 示 , fi(L,R)==(L@P4((S。 ‖ S1)(E/P(R)@Key))) | R, 其 中 : 

。 工 \.R 分 别 为 输入 字 节 的 左 半 4 位 和 右 半 4 位 。 

。 E/P 为 一 个 4 位 到 8 位 的 扩展 变换 : E/P(6bi,b; ,bs ,0b,)=(b, ,bb ,bs ,bb3 ,0b ,01)。 

。 巾 是 按 位 异 或 运算 。 

。 So、Si 分 别 为 4 位 到 2 位 的 变换 盒 ,Se 作用 于 8 位 字 节 的 左 4 位 ,Si 作用 于 8 位 

字 节 的 右 4 位 。S。、Si 定义 如 下 : 


图 3-24 S-DES 密 钥 生成 


10 32 0 .23 

3 人 ,生息 201 3 
So 一 Si 一 

0 2 SS 30 1 0 

于 2 0 3 


变换 盒 S 的 操作 过 程 是 将 4 位 输入 码 的 第 0、3 位 作为 2 位 数值 i, 第 1、2 位 作为 2 位 
68 


em 第 3 章 对 称 密码 体系 mm 


8 位 输入 
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8 位 输出 
3-25 变换 fi 的 细节 


数值 ), 则 S 盒 中 元 素 S 即 为 输出 。 例 如 ,So(1110) 王 3 一 (11) 。 

。 P4 是 一 个 4 位 置换 ，P4(b ,bs ,ps 0) 一 (0 ,0b4 050) 。 

。 || 表示 两 个 位 串 的 拼接 。 

S-DES 是 一 个 对 称 分 组 加 密 的 简化 模型 , 它 揭示 了 设计 分 组 密码 算法 的 基本 模式 和 
框架 。 但 是 ,S-DES 没有 实际 应 用 价值 。 由 于 算法 是 公开 的 ,所 有 秘密 都 在 密 钥 中 。 即 
假设 攻击 者 掌握 S-DES 算法 细节 (包括 IP、.E/P、S。、Si 、P4 的 值 ) ,已 知 明文 m= (bi ,bs， 
53,b4 ,bs ,be ,07 bs) 和 对 应 密 文 c 二 (pi ,pz sp3:prsps:ps:pr,ps), 则 通过 穷 举 攻击 ,遍历 
2” 二 1024 个 可 能 密 钥 ,一 定 可 以 找 出 正确 的 加 密 密 钥 。 

现代 分 组 密码 算法 应 满足 以 下 要 求 。 

@ 分 组 长 度 交 要 足够 大 ,使 分 组 代 换 字母 表 中 的 元 素 个 数 2" 足够 大 ,防止 明文 穷 举 
攻击 法 奏效 。DES .IDEA 分 组 长 度 一 64,AES 的 分 组 长 度 ?一 128。 

@ 密 钥 空间 要 足够 大 , 尽 可 能 消除 弱 密 钥 并 使 所 有 密 钥 的 加 密 强 度 相 同 ,但 是 为 便 
F 密 钥 管理 , 密 钥 又 不 能 过 长 。DES 的 密 钥 长 度 为 56 位 ,但 被 认为 太 短 。AES 的 密 钥 长 
度 为 128 位 ,目前 被 认为 是 安全 的 。 

@ 由 密 钥 确 定 置换 的 算法 要 足够 复杂 ,充分 实现 明文 与 密 钥 的 扩散 和 混淆 ,能 抗击 
各 种 已 知 的 密码 分 析 攻 击 。 使 得 敌手 除 穷 举 攻击 外 没有 其 他 捷径 可 循 。 

@ 加 密 和 解密 运算 简单 ,易于 软件 和 硬件 高 速 实现 。 通 常 的 考虑 是 分 组 长 度 应 该 是 
2 的 短 , 如 取 32、64、128、256 等 ,密码 运算 的 基本 操作 是 加 、 与 .或 、 异 或 . 移 位 和 和 矩阵 变 
换 等 。 

@ 通常 不 考虑 数据 位 扩展 或 者 压缩 , 即 输入 明文 和 输出 密 文具 有 相同 长 度 。 

@ 差错 传播 尽 可 能 小 。 
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扩散 和 混淆 成 功 地 实现 了 分 组 密码 的 本 质 属性 ,因而 成 为 设计 现代 分 组 密码 的 基础 。 
332 ”Feistd 密码 结构 


1 Feiste 加 密 结构 

由 图 3-23,S-DES 算法 对 8 位 明文 的 加 密 过 程 分 为 两 个 阶段 : 第 一 阶段 对 明文 作 置 
换 IP, 然 后 施 以 具有 扩散 和 混淆 效果 的 代 换 处 理 f;, ; 第 二 阶段 对 上 阶段 输出 交换 左右 
半 部 ,然后 再 次 施 以 fi, ,最 后 实施 IP-: 。 其 中 每 个 阶段 的 模式 基本 一 致 。 将 实施 一 次 
fi 称 为 一 轮 , 则 下 一 轮 的 输入 和 上 一 轮 输 出 的 关系 是 : 

Ls = Ri 
R: = Li ® F(Ri,k:) 

这 种 交换 左 、 右 半 部 ,其 中 下 一 轮 右 半 部 为 上 一 轮 左 半 部 和 依赖 于 上 轮 右 半 部 与 子 密 
钥 的 变换 值 ,下 一 轮 左 半 部 为 上 一 轮 右 半 部 的 框架 模式 称 为 Feistel 加 密 结构 。 

S-DES 仅 实施 了 两 轮 具 有 Feistel 结构 特征 的 处 理 , 一 般 的 Feistel 加 密 过 程 需要 实 
施 n 轮 迭 代 , 其 中 第 i 轮 迭 代 关 系 如 下 : 

Li = Ri 
1 = Li ® F(R ,ki) 
其 中 ,k; 是 第 i 轮 用 的 子 密 钥 ,由 加 密 密 钥 上 得 到 。 

Feistel 网 络 中 每 轮 结构 都 相同 ,总 是 依赖 于 上 轮 右 半 部 数据 与 子 密 钥 经 过 变换 函数 
FCRi-i ,Ai) 处 理 后 ,其 结果 与 上 轮 左 半 部 数据 进行 异 或 运算 ,这 就 是 前 面 介 绍 的 代 换 操 
作 。 代 换 过 程 完 成 后 ,再 交换 左右 两 半数 据 , 这 一 过 程 称 为 置换 。 这 种 结构 是 香农 提出 
的 代 换 -置换 网 络 SPN(Substitution-Permutation Network) 的 特有 形式 。 

S-DES 中 增加 了 开始 的 置换 IP 和 最 后 结束 的 逆 置 换 IP : 。 在 完整 的 DES 中 也 是 这 
样 处 理 的 。 

Feistel 网 络 的 实现 与 以 下 参数 和 特性 有 关 。 

QO 分 组 大 小 。 分 组 越 大 则 安全 性 越 高 ,但 加 密 速度 就 越 慢 。 分 组 密码 设计 中 最 为 普 
遍 使 用 的 分 组 大 小 是 64 比特 或 者 128 比特 。 

@ 密 钥 大 小 。 密 钥 越 长 则 安全 性 越 高 ,但 加 密 速度 就 越 慢 , 现 在 普遍 认为 64 比特 或 
更 短 的 密 钥 长 度 是 不 安全 的 ,通常 使 用 128 比特 的 密 钥 长 度 。 

@ 轮 数 。 单 轮 结 构 远 不 足以 保证 安全 性 ,多 轮 结构 有 足够 的 安全 性 。 典 型 的 轮 数 取 
为 16。 

@ 子 密 钥 产 生 算法 。 该 算法 的 复杂 性 越 大 , 则 密码 分 析 的 困难 性 就 越 大 。 

Q 轮 函 数 下 。 轮 函数 下 的 复杂 性 越 大 ,密码 分 析 的 困难 性 也 越 大 。 

@ 算法 分 析 难 度 。 算 法 结构 清晰 ,解释 没有 二 义 性 , 则 容易 分 析 算 法 的 复杂 性 和 抗 
攻击 能 力 。 


2 Feistd 解密 结构 

Feistel 解密 过 程 本 质 上 和 加 密 过 程 一 样 ,算法 使 用 密 文 作 为 输入 ,但 使 用 子 密 钥 久 
的 次 序 与 加 密 过 程 相反 , 即 第 1 轮 使 用 , ,第 2 轮 使 用 1,…, 最 后 一 轮 使 用 。 这 一 
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特性 保证 了 解密 和 加 密 可 采用 同一 算法 。 

图 3-26 的 左 、 右 图 分 别 表 示 16 轮 Feistel 结构 的 加 、 解 密 过 程 ,加 密 过 程 由 上 而 下 ， 
解密 过 程 由 下 而 上 。 为 清楚 起 见 , 加 密 算法 每 轮 的 左右 两 半 用 LE; 和 RE, 表示 ,解密 算 
法 每 轮 的 左右 两 半 用 LD; 和 RD; 表示 。 图 中 右边 标 出 了 解密 过 程 中 每 一 轮 的 中 间 值 与 
左边 加 密 过 程 中 间 值 的 对 应 关系 , 即 加 密 过 程 第 i 轮 的 输出 是 LE; | RE;( || 表示 连接 )， 
解密 过 程 第 16-i 轮 相应 的 输入 是 LD; | RD,。 
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加 密 过 程 的 最 后 一 轮 执行 完 后 ,左右 两 半 输 出 再 经 交换 ,因此 密 文 是 RE | LEe 。 
解密 过 程 取 以 上 密 文 作为 同一 算法 的 输入 , 即 第 1 轮 输入 是 REle ‖ LEle 。 下 面 证 明 解密 
过 程 第 1 轮 的 输出 等 于 加 密 过 程 第 16 轮 输入 左右 两 半 的 交换 值 。 

在 加 密 过 程 中 : 

LE's = RE's 
RE = LE:s 四 F(REs ,ke) 
在 解密 过 程 中 : 
LD, = RD, = LE's = RE's 
RD, = LDe 四 F(RD, ,ki) = RE ® F(RE's ,kis) 
= [LEis © F(RE;s ,kis)] ® F(RE'is ,ki) = LE's 
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所 以 解密 过 程 第 1 轮 的 输出 为 LEis ‖ REis ,等 于 加 密 过 程 第 16 轮 输入 左右 两 半 交 
换 后 的 结果 。 容 易 证 明 这 种 对 应 关系 在 16 轮 中 每 轮 都 成 立 。 

通常 有 LD;=RE,。;,RD;= 王 LE ,i 一 1.2,…,16。 明 文 z 一 (LE。 | RE,)。 这 里 并 
不 要 求 下 是 可 道 函 数 ,事实 上 下 的 构造 任意 ,以 上 过 程 仍然 成 立 , 但 是 从 密码 强度 考虑 ， 
函数 下 的 构造 是 关键 。 


3.4 _DES 





341 DES 算 法 简介 


DES(Data Encryption Standard, 数 据 加 密 标准 ) 是 IBM 的 研究 成 果 , 是 数据 加 密 算 
法 (Data Encryption Algorithm,DEA) 的 规范 描述 ,在 1997 年 被 美国 政府 正式 采纳 。 值 得 
注意 的 是 ,IBM 在 美国 国家 标准 局 (NBS) 第 二 次 发 布 征集 公告 后 ,所 提交 的 候选 算法 是 在 其 
早先 开发 的 Lucifer 算法 基础 上 修改 和 发 展 而 来 的 , 密 钥 长 度 为 112, 但 是 公布 的 DES 算法 
的 密 钥 长 度 为 56。 无 论 如 何 ,DES 算法 成 为 使 用 最 广泛 的 密 钥 系统 之 一 ,在 各 个 领域 特别 
是 在 金融 领域 数据 安全 保护 中 广泛 应 用 ,与 此 同时 ,对 DES 安全 性 的 研究 也 在 不 断 继续 。 

1997 年 一 个 研究 小 组 经 过 4 个 月 努力 ,在 Internet 上 搜索 了 3X10* 个 密 钥 , 找 出 了 
DES 的 密 钥 。 同 年 美国 国家 标准 与 技术 研究 所 (NIST) 宣 布 1998 年 12 月 以 后 美国 政府 
不 再 使 用 DES ,并 且 发 出 征集 AES( 高 级 加 密 标准 ) 的 通知 。1998 年 5 月 美国 研究 机 构 
EFF(Electronic Frontier Foundation) 宣 布 用 一 台 价值 20 万 美元 的 计算 机 改装 的 专用 解 
密 系统 ,花费 56h 破译 了 56 位 密 钥 的 DES。2000 年 10 月 2 日 ,NIST 公布 了 新 的 AES， 
DES 作为 标准 正式 结束 。 尽 管 如 此 ,学 习 DES, 对 于 掌握 分 组 密码 的 基本 理论 和 设计 思 
想 仍 然 有 重要 参考 价值 。 同 时 在 非 机 密级 的 许多 应 用 中 ,DES 仍 在 广泛 使 用 。 


342 DES 算 法 设计 思想 


DES 算法 对 明文 以 64 位 为 分 组 单位 进行 分 组 ,最 后 一 组 车 不 足 64 位 ,以 0 补 齐 。 之 
后 对 每 组 64 位 的 数据 进行 加 密 。DES 中 密 钥 长 度 为 56 位 ,输出 64 位 密 文 分 组 ,其 加 密 
算法 框图 如 图 3-27 所 示 。 图 的 左边 是 明文 的 加 密 处 理 过 程 ,该 过 程 分 三 个 阶段 。 

第 一 阶段 : 64 位 明文 进行 初始 置换 IP, 用 于 重 排 明文 分 组 的 64 比特 数据 。 

第 二 阶段 : 顺序 经 过 16 轮 功能 相同 的 变换 ,每 一 轮 变换 的 输入 是 上 轮 变换 的 输出 和 
右 部 56 位 初始 密 钥 生 成 的 48 位 子 密 钥 ;。 对 加 密 过 程 中 每 一 轮 , 子 密 钥 分 发 前 都 需 进 
行 左 循环 移 位 。 因 此 &1,… ,kis 各 不 相同 。 

第 三 阶段 : 将 第 16 轮 变 换 输出 的 64 位 码 进行 左右 32 位 变换 ,然后 对 其 进行 逆 初 始 
置换 。 所 得 结果 即 为 64 位 密 文 分 组 。 

除 初 始 置换 和 道 初始 置换 外 ,DES 的 结构 和 Feistel 图 的 密码 结构 完全 相同 。 

DES 算法 中 每 轮 处 理 细节 如 图 3-28 所 示 。 结 合 图 3-27 可 知 ,DES 的 16 轮 循环 处 理 
流程 具有 严格 的 Feistel 密码 结构 。 由 图 3-28 的 左 部 ,第 i 轮 处 理 过 程 为 : 下 函数 的 输入 
32 
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64 比 特 明文 56 比 特 密 钥 
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3-27 DES 加 密 算法 框图 


为 前 一 轮 输出 的 右 半 部 分 R;_, 和 当前 轮 密 钥 &。F 函数 的 输出 将 与 加 密 左 半 部 分 输入 位 
Li 1 进行 XOR 操作 产生 R;。 和 Feistel 网 络 一 样 ,每 轮 变换 可 由 以 下 公式 表示 
Li=R 
R; = Li 四 FOR ,k;) 
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图 3-28 DES 算 法 单 轮 处 理 过 程 
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DES 的 基本 构造 元 件 为 初始 置换 与 逆 初 始 置 换 、F 函数 以 及 密 钥 生成 ,其 中 下 函数 
涉及 正 盒 扩 展 置换 、S 盒 置换 和 PP 盒 置换 。 
1 初始 置换 与 逆 初 始 置换 
(1) 初始 置换 IP 
初始 置换 IP 的 功能 是 把 输入 的 64 位 明文 数据 ,通过 一 个 8X8 的 置换 矩阵 按 位 进行 
重新 组 合 , 如 表 3-3 所 示 。 初 始 置换 是 线性 变换 , 它 使 明文 发 生 位 置 上 的 变换 。 
表 3-3 初始 置换 IP 


























IP 
58 50 42 34 26 18 10 2 
60 52 44 36 28 20 12 1 
62 54 46 38 30 22 14 6 
64 56 48 40 32 24 16 8 
57 49 41 33 25 17 和 } 
59 51 43 35 27 19 11 3 
61 53 45 37 29 21 13 5 
63 55 47 39 31 23 15 7 























设 z 是 分 块 后 的 64 位 明文 数据 块 ,置换 后 zx。 二 IP(zx) 二 LoR。o ,这 里 L。 和 R。 都 是 32 
位 。 初 始 置换 后 效果 如 图 3-29 所 示 。 


1 50 58 64 











IP(x) 














1 和 2 40 
图 3-29 初始 置换 中 位 交换 的 示例 


(2) 逆 初 始 置 换 IP- 
在 加 密 中 ,经 过 16 次 迭代 运算 后 得 到 Lis ,Ri ,将 此 作为 输入 进行 逆 初 始 置 换 , 即 得 
到 密 文 输出 。 首 置换 正好 是 初始 置换 的 逆 运 算 。 其 逆 置 换 的 规则 如 表 3-4 所 示 。 


表 3-4 逆 初 始 置 换 IP™" 


























Br 
40 8 48 16 56 24 64 32 
39 7 47 15 55 23 63 31 
38 6 46 14 54 22 62 30 
37 5 45 13 53 21 61 29 
36 4 44 12 52 20 60 28 
35 3 43 11 51 19 59 27 
34 2 42 10 50 18 58 26 
33 41 9 49 玉芝 57 25 
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逆 初 始 置 换 后 效果 如 图 3-30 所 示 。 

值得 注意 的 是 ,初始 置换 和 逆 初 始 置换 都 没有 增加 DES 的 安全 性 。 尽 管 人 们 不 是 很 
清楚 这 两 种 置换 存在 的 真正 原理 ,但 看 上 去 它们 的 初衷 是 以 字 节 形式 排列 明文 和 密 文 ,以 
方便 8 位 数据 总 线 的 数据 读 取 。8 位 数据 总 线 是 20 世纪 70 年 代 初期 最 新 的 寄存 器 
夫 杰 5 




















IP-(2) 





1 50 58 64 
图 3-30 ” 逆 初 始 置换 中 位 置换 的 示例 


2 函数 计算 RR-1,k) 


正如 前 文 所 述 ,F 函数 在 DES 的 安全 性 中 发 挥 着 重要 作用 ,F 函数 实现 原理 如 图 3-31 
所 示 。 
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3-31 下 函数 实现 原理 














(1) 眉 盒 扩展 置换 

首先 将 输入 分 成 8 个 4 位 的 分 组 ,然后 将 每 个 分 组 扩展 为 6 位 ,从 而 将 32 位 的 输入 
扩展 为 48 位 。 这 个 过 程 在 下 盒 中 进行 ,E 盒 是 一 种 特殊 的 置换 。 第 一 个 分 组 包含 的 位 为 
(1,2,3,4) ,第 二 个 分 组 包含 的 位 为 (5,6,7.8) , 依 此 类 推 。 

图 3-32 显示 了 将 4 位 扩展 为 6 位 的 过 程 。 

从 表 3-5 可 知 ,32 个 输入 位 中 正好 有 16 个 输入 位 在 输出 中 出 现 了 两 次 。 但 是 任意 
一 个 输入 位 都 不 会 在 同一 个 6 位 的 输出 分 组 出 现 两 次 。 扩 展 盒 增 加 了 DES 的 扩散 行为 ， 
因为 某 些 输入 位 会 影响 两 个 不 同 的 输出 位 置 。 
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图 3-32 下 盒 扩展 置换 的 置换 示例 








表 3-5 EE 盒 扩展 置换 表 


























E 
32 1 2 3 4 5 
4 5 6 ” 8 和 
8 9 10 11 12 13 
12 13 14 15 16 又 
16 17 18 19 20 21 
20 21 22 23 24 25 
24 25 26 27 28 29 
28 29 30 31 32 1 

















(2) S 盒 置换 

将 下 盒 扩展 得 到 的 48 位 结果 与 当前 轮 密 钥 ; 进行 XOR 操作 ,并 将 8 个 6 位 长 的 分 
组 送 入 8 个 不 同 的 替换 盒 中 ,这 个 替换 盒 也 称 S 盒 ,如 表 3-6 所 示 ,每 个 S 盒 都 是 一 个 查 
找 表 , 它 将 6 位 的 输入 映射 为 4 位 的 输出 。 

每 个 S 盒 包含 2 一 64 项 ,可 以 表示 为 一 个 4 行 





























11 第 4 行 
16 列 的 表格 。 每 项 是 一 个 4 位 的 值 。 图 3-33 列 出 人 
了 表格 的 读 取 方式 , 每 个 6 位 输入 中 最 重要 的 位 ”ol 
(MSB) 和 最 不 重要 的 位 (LSB) 将 选择 表 行 ,而 4 个 内 [一 
部 位 则 选择 列 。 该 表 中 每 个 项 的 整数 0,1,…,15 表 0010 第 3 列 
示 的 是 4 位 值 对 应 的 十 进 制 的 值 。 图 3-33 使 用 S 盒 1 对 输入 1001012 
从 密码 学 强度 来 讲 ,S 盒 是 DES 的 核心 ,因为 S 进行 解码 的 示例 


盒 在 密码 中 引用 了 非 线 性 , 即 
S(a) @ S40) A S(a BD) 
S 盒 中 的 非 线性 构造 元 件 也 是 DES 算法 中 唯一 的 非 线 性 元 素 , 并 提供 了 混淆 。 有 了 
这 些 特 征 ,DES 算法 可 以 抵御 各 种 高 级 的 数学 攻击 ,尤其 是 差分 密码 分 析 的 攻击 。 
例 3-5 S 盒 的 输入 0 一 (100101)。 表 示 行 11: 王 3( 即 第 4 行 ), 以 及 列 0010: 一 2( 即 第 
3 列 ) 。 如 果 将 输入 送 入 S 盒 1, 则 输出 为 S1(37= 二 100101,) 二 8 二 1000,。 
例 3-6 求 出 用 DES 的 8 个 S 盒 ( 见 表 3-6 所 示 ) 将 48 比特 串 70a990f5fc36 压缩 置 
换 输出 的 32 比特 串 ( 用 十 六 进 制 写 出 每 个 S 盒 的 输出 ) 。 
解 : 比特 串 70a990f5fc36 用 二 进 制 表示 为 011100 001010 100110 010000 111101 
011111 110000 110110 ,每 6 比特 一 组 共 8 组 ,分 别 用 8 个 S 盒 变换 如 下 : 
S1(011100) = Si (00,1110) = $1(0,14) 一 0 一 0000 一 0 
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S:(001010) = S,(00,0101) 
Ss(100110) = S$;(10.,0011) 
S1(010000) = S, (00,1000) 


























Ss(11101) = Ss(11,1110) 








Ss(11101) = Ss (11,1110) 
S71(110000) = S1;(10,1000) 
Ss(110110) = Ss (10,1011) 








对 称 密码 体系 mm 





S:(0,5) = 11 = 1011=b 
S:(2,3) = 9= 1001=9 

Si(0,8) = 1= 0001=1 

Ss(3,14) = 5= 0101 = 5 

Ss(3,14) = 5= 0101 = 5 

S1(2,8) = 10 = 1010= a 
Ss(2,11) = 13 = 1101 





d 


故 8 个 S 盒 的 输出 为 00001011 10010001 01011000 10101101, 即 0b9158ad。 























表 3-6 S 盒 置换 表 

14 4 13 1 2 15 11 8 3 10 6 12 凶 0 7 
15 7 4 14 2 13 1 10 6 12 11 5 3 8 
1 14 8 13 6 2 11 15 12 9 时 10 5 0 
15 12 2 4 9 7 对 3 14 10 0 6 13 
15 1 14 6 11 4 7 2 13 12 0 5 10 
3 13 4 7 15 2 14 12 0 1 10 6 9 1 5 
> 0 14 7 11 10 4 13 3 5 8 12 6 9 3 2 15 
13 8 10 1 3 15 4 11 6 7 12 0 5 14 9 
10 0 14 6 3 15 1 13 12 2 WW 4 2 8 
13 和 9 3 4 6 10 2 8 5 14 13 11 15 1 
13 6 9 8 15 3 g “到 1 2 12 5 10 14 7 
1 10 13 0 6 9 8 时 4 15 14 3 5 2 12 
7 13 14 3 0 6 9 10 1 2 8 5 于 32 4 15 
13 曙 a 5 6 15 0 3 4 和 2 12 1 10 14 9 

2 10 6 9 0 12 11 7 13 15 1 3 14 5 2 8 
3 15 0 6 10 1 13 8 9 4 5 11 12 7 2 14 
2 12 4 1 7 10 11 6 8 5 3 15 13 0 14 9 
14 11 2 12 4 7 13 LL 5 0 15 10 3 9 8 6 
可 4 2 1 MM 了 8 15 9 12 5 6 3 0 14 
11 8 12 时 1 14 13 6 15 0 9 10 4 5 3 
12 1 10 15 9 2 8 0 13 3 4 14 7 “| 

10 15 4 7 12 5 6 1 13 14 0 11 3 

9 14 15 2 8 12 3 7 0 4 10 1 1 11 
3 2 12 9 5 15 10 11 14 1 , 6 0 8 13 
11 2 14 15 0 8 13 3 12 9 % 5 10 6 1 
13 0 ,an 7 4 9 1 10 14 3 5 12 2 15 8 6 

车 1 11 13 12 3 7 14 10 15 6 8 0 5 9 
6 11 12 8 和 4 10 9 5 0 15 14 2 3 12 
13 2 8 4 6 15 11 1 10 9 3 14 5 0 12 7 
1 15 13 8 10 3 量 4 12 1 0 14 9 2 
中 7 让 4 1 12 14 0 10 13 15 3 5 8 
1 14 7 10 8 13 15 12 9 0 3 5 6 11 
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(3) P 盒 置换 
S 盒 置换 后 产生 32 位 输出 ,该 输出 再 经 过 表 3-7 定义 的 P 盒 置换 进行 按 位 置换 , 产 














生 的 结果 即 为 函数 F(R;,k;) 的 输出 。 
表 3-7 P 盒 置换 表 
下 
16 2 20 21 29 12 28 17 
1 15 23 26 5 18 31 10 
2 8 24 14 32 27 9 
19 13 30 6 22 11 4 25 























与 初始 置换 IP 及 其 逆 初 始 置 换 IP-: 不 同 ,P 盒 置换 将 扩散 引入 DES 中 ,因为 每 个 S 
盒 的 4 位 输出 都 会 进行 置换 ,使 得 每 位 在 下 一 轮 中 会 影响 多 个 不 同 的 S 盒 。 由 扩充 带 来 
的 扩散 、S 盒 与 P 盒 置换 可 以 保证 ,在 第 5 轮 结束 时 每 个 位 都 是 每 个 明文 位 与 每 个 密 钥 位 
的 函数 。 这 种 行为 也 称 雪 崩 效 应 。 

3 子 密 钥 k 的 产生 

图 3-34 显示 了 实际 密 钥 生成 过 程 。DES 的 输入 密 钥 通常 是 64 位 ,由 于 DES 算法 规 
定 , 其 中 每 第 8 个 位 都 作为 前 面 7 位 的 一 个 奇偶 校 验 位 ,不 参与 DES 运算 。 










































































H16 一 ”一 一 |L rc? = 一 和 Cs Di 


48 56 














图 3-34 DES 加 密 的 密 钥 生成 过 程 
故 经 过 表 3-8 所 示 的 初始 PC-1( 置 换 选 择 1) 置 换 后 密 钥 的 实际 可 用 位 数 由 64 位 压 
缩 为 56 位 ,可 以 说 DES 是 一 个 56 位 的 密码 ,而 不 是 64 位 的 。 
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表 3-8 初始 密 钥 置换 PC-1 



































了 PC-1 
57 49 41 33 25 17 y 1 
58 50 42 34 26 18 10 2 
59 51 43 35 27 19 11 3 
60 52 44 36 63 55 47 39 
31 23 15 7 62 54 46 38 
30 22 14 6 61 53 45 37 
29 21 13 5 28 20 12 4 











长 度 均 为 28 位 的 左右 两 部 分 将 周期 性 地 向 左 移动 1 位 或 2 位 ( 即 循环 移 位 ) ,而 移动 
的 具体 位 数 则 取决 于 轮 数 i, 如 表 3-9 所 示 ,其 规则 如 下 


表 3-9 循环 左 移 位 数 








在 i=1,2,9,16 轮 中 ,左右 两 部 分 向 左 移动 1 位 。 

@ 在 i 隆 1,2,9,16 的 其 他 轮 中 ,左右 两 部 分 向 左 移动 2 位 。 

这 里 需要 注意 的 是 ,循环 移动 位 置 的 总 数 为 4X1 十 12X2 一 28, 这 样 会 使 得 Co 一 Cr 
和 Du 一 Di ,此 结果 对 解密 密 钥 的 生成 非常 有 用 。 

移 位 后 的 结果 作为 求 下 一 轮子 密 钥 的 输入 ,同时 也 作为 表 3-10 的 PC-2( 署 换 选 择 2) 
的 输入 , 即 密 钥 的 左右 两 部 分 需要 再 次 根据 PC-2 进行 按 位 置换 。C; 和 DD; 总 共有 56 位 ， 
而 PC-2 忽略 了 其 中 的 8 位 ,得 到 48 位 的 本 轮子 密 钥 &;, 作 为 函数 F(Ri_1,k;) 的 输入 。 


表 3-10 PC-2 的 轮 密 钥 置换 









































PC-2 
14 17 ut 24 1 5 3 28 
15 6 21 10 23 19 12 4 
26 8 16 Ld 27 20 13 2 
41 52 31 37 47 55 30 40 
51 45 33 48 44 49 39 56 
34 53 46 42 50 36 29 32 


4 DES 算 法 解密 过 程 

DES 算法 的 优势 之 一 是 其 解密 过 程 与 加 密 过 程 在 本 质 上 是 完全 相同 的 。 这 主要 是 
因为 DES 基于 Feistel 网 络 。 与 加 密 相 比 ,解密 过 程 中 只 有 密 钥 生 成 顺序 逆转 了 , 即 解密 
的 第 一 轮 需要 子 密 钥 As ,第 二 轮 需 要 子 密 钥 ks ，……… ,最 后 一 轮 用 ,算法 本 身 并 没有 任 
何 变化 。 
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344 DES 算 法 的 安全 性 


1. DES 算 法 的 安全 强度 

在 DES 算 法 被 提出 后 不 久 , 针 对 DES 密码 强度 的 批评 主要 围绕 以 下 两 个 方面 。 

Q@ DES 的 密 钥 空间 太 小 ,该 算法 很 脆弱 , 易 受 蛮 力 攻击 。 

IBM 提议 的 原始 密码 的 密 钥 长 度 为 128 位 ,而 将 它 减 少 为 56 位 的 做 法 很 令 人 怀疑 。 
此 外 ,DES 算 法 所 使 用 的 密 钥 k; 是 各 次 迭代 中 递 推 产生 的 ,这 种 相关 性 也 必然 降低 了 密 
码 体 制 的 安全 性 。 

DES 蛮 力 攻击 也 为 硬件 开销 的 不 断 下 降 提供 了 很 好 的 学 习 案例 。EFF (Electronic 
Frontier Foundation) 于 1998 年 构建 的 硬件 机 器 Deep Crack, 使 用 蛮 力 攻击 可 以 在 56 小 
时 内 破解 DES, 其 平均 搜索 时 间 为 15 天 。 在 2006 年 ,来 自 德国 波 鸿 大 学 和 基 尔 大 学 一 个 
研究 小 组 基于 商业 集成 电路 构建 的 COPACOBANA 机 器 破解 DES 的 官方 平均 搜索 时 间 
不 到 7 天。 

总 之 ,56 位 的 密 钥 大 小 已 经 不 足以 保证 当今 机 密 数 据 的 安全 性 。 因 此 ,对 大 多 数 应 
用 程序 而 言 , 单 重 DES 只 能 用 于 要 求 短期 安全 性 (比如 几 小 时 ) 的 应 用 或 被 加 密 数 据 价 值 
较 低 的 情况 。 不 过 ,多 重 DES 仍然 很 安全 ,尤其 是 三 重 DES。 

@ DES 算法 中 S 盒 的 设计 准则 是 保密 的 ,所 以 有 可 能 已 经 存在 利用 S 盒 数 学 属性 的 
分 析 攻 击 , 只 是 此 攻击 只 有 DES 的 设计 者 知道 。 

尽管 DES 算法 自 公 布 之 日 起 就 经 历 了 许多 很 强 的 分 析 攻 击 ,但 至 今 还 没 发 现 能 高 效 
破解 它 的 攻击 方式 。1990 年 ,Eli Biham 和 Adi Shamir 发 现 了 差分 密码 分 析 (DC) ,这 是 
一 种 非常 强大 的 攻击 方式 ,理论 上 它 可 以 破解 任何 分 组 密码 。1993 年 ,Mitsuru Matsui 
公布 了 一 种 与 DC 相关 但 又 不 同 的 分 析 攻 击 , 即 线性 分 析 攻 击 (LC) 。 与 差分 密码 分 析 类 
似 ,这 种 攻击 的 有 效 性 很 大 程度 上 取决 于 S 盒 的 结构 。 

然而 事实 证 明 ,DES 的 S 盒 可 以 很 好 地 抵抗 住 了 这 些 攻 击 。 


2 DES 算 法 的 安全 管理 

(1) 避 开 DES 算法 漏洞 

在 DES 密 钥 ; 的 使 用 ,管理 及 密 钥 更 换 的 过 程 中 ,应 绝对 避 开 DES 算法 的 应 用 误 
区 , 即 绝对 不 能 把 &; 的 第 8、16、24、64 位 作为 有 效 数据 位 ,来 对 &; 进行 管理 。 从 上 述 
DES 算法 的 描述 中 知道 ,每 个 字 节 的 第 8 位 作为 奇偶 校 验 位 以 确保 密 钥 不 发 生 错误 ,这 
8 位 不 参与 DES 运算 。 因 此, 如果 采用 定期 更 换 DES 密 钥 忆 的 办 法 来 进一步 提高 系统 
的 安全 性 和 可 靠 性 ,忽略 了 上 述 应 用 误区 ,那么 ,更 换 新 密 钥 将 是 徒劳 的 。 所 以 更 换 密 钥 
一 定 要 保证 新 &; 与 旧 k; 真正 的 不 同 , 即 除了 第 8、16、24、64 位 以 外 其 他 位 数据 发 生 了 变 
化 ,这 样 才能 保证 DES 算法 安全 可 靠 地 发 挥 作用 。 

(2) DES 算法 存在 弱 密 钥 

在 DES 算法 中 存在 12 个 半 弱 密 钥 和 4 个 弱 密 钥 。 由 于 在 子 密 钥 的 产生 过 程 中 , 密 
钥 被 分 成 了 两 个 部 分 ,如 果 这 两 个 部 分 密 钥 是 全 0 或 全 1, 那么 每 轮 产生 的 子 密 钥 都 是 相 
同 的 , 当 密 钥 是 全 0 或 全 1 ,或 者 一 半 是 1 或 0 时 ,就 会 产生 弱 密 钥 或 半 弱 密 钥 ,DES 算法 
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的 安全 性 就 会 变 差 。 因 此 ,在 设 定 密 钥 时 应 避免 弱 密 钥 或 半 弱 密 钥 的 出 现 。 
345 多 重 DES 
1 二 重 DES 
为 了 提高 DES 的 安全 性 ,并 利用 实现 DES 的 现 有 软 硬 件 , 可 将 DES 算法 在 多 密 钥 


下 多 重 使 用 。 二 重 DES 是 多 重 使 用 DES 最 简单 的 形式 ,如 图 3-35 所 示 。 其 中 明文 为 P， 
密 文 为 C, 两 个 加 密 密 钥 为 k， 和 k,。 


人 




















EE | 5 藻 € 
(a) 加 密 
| 已 | 石 
El gE 
(b) 解密 


3-35 二 重 DES 


加 密 过 程 为 C==E, [Es [Pj]]。 解 密 时 ,以 相反 顺序 使 用 两 个 密 钥 P=E [E [C]]。 

对 于 任意 56 位 密 钥 ,ks ,是 否 能 够 找 出 56 位 密 钥 ,使 得 E, [Pj 二 Ei, [LE [P]]? 换 
言 之 ,是 否 存 在 等 价 于 二 重 DES 的 单 重 DES 算法 ? 研究 表明 ,这 是 不 可 能 的 。 但 是 由 于 
DES 本 身 的 安全 性 有 限 , 对 二 重 DES 有 以 下 一 种 称 为 中 途 相 遇 攻 击 的 攻击 方案 ,这 种 攻 
击 不 依赖 于 DES 的 任何 特性 ,因而 可 用 于 攻击 任何 分 组 密码 。 其 基本 思想 如 下 

设 C=E,, [Bu [LP]], 则 令 X=E LPJ=D;, LC 如 果 知 道明 文 - 密 文 对 (M,C), 可 
以 用 如 下 方法 进行 攻击 ( 找 出 密 钥 ): 

(1) 用 2”* 个 所 有 可 能 密 钥 & 对 P 加 密 , 将 结果 按照 递增 序 存 人 一 个 表 中 。 

(2) 用 2* 个 所 有 可 能 的 对 C 解密 ,在 表 T 中 查找 与 C 解密 结果 相 匹 配 的 项 。 

(3) 如 果 找 到 匹配 项 , 则 记 下 相应 的 & 和 ks。 

(4) 最 后 再 用 一 新 的 明文 - 密 文 对 (P',C' ) 检 验 上 面 找 到 的 有 和 ks, 即 C' 是 否 等 于 
Eu [LE [LP']], 如 果 相等 则 攻击 有 效 。 

对 已 知 的 明文 P, 二 重 DES 能 产生 2* 个 可 能 的 密 文 ,而 可 能 的 密 钥 个 数 为 2 个 。 
因此 就 平均 情况 而 言 ,对 一 个 已 知 的 明文 ,有 2/2” 二 2 个 密 钥 可 产生 已 知 的 密 文 。 而 
再 经 过 另外 一 对 明文 密 文 的 检验 , 误 报 率 将 下 降 到 2%*-“ 二 2-*“。 所 以 在 实施 中 途 相 遇 攻 
击 时 ,如 果 已 知 两 个 明文 密 文 对 , 则 找到 正确 密 钥 的 概率 为 1 一 2 。 

之 三 于 [ES 

为 了 抵抗 中 途 相 遇 攻 击 ,又 提出 图 3-36 所 示 的 三 重 DES (TDES): C= 
Ei, [LDi, [LE LMJ]J]。 其 中 第 二 步 的 解密 操作 的 目的 就 是 阻 断 中 途 相遇 攻击 。 其 使 用 了 
三 个 不 同 的 密 钥 ,TDES 密 钥 的 有 效 长 度 为 168, 它 以 DES 为 基础 ,但 安全 性 大 大 增加 。 
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1999 年 ,三 重 DES 被 合并 到 数据 加 密 标准 中 (FIPS PUB 46-3)。 许 多 基于 Internet 的 应 
用 采用 了 三 重 DES, 其 中 包括 PGP 和 S/MIME。 考虑 到 实现 效率 和 开销 ,实际 应 用 中 使 
用 的 是 两 个 密 钥 的 三 重 DES, 即 在 三 重 DES 中 令 二 ks。 




















| | 
M—( E jd D )} 2 & 一 ~< 
(a) 加 密 
k 向 
1 U 1 
cP) (ou 
(b) 解密 


3-36 三 重 DES 
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351 AES 算 法 简介 


随 着 未 来 计算 机 能 力 的 提高 , DES 加 密 技术 已 经 难以 满足 长 期 高 安全 性 的 加 密 要 
求 。NIST 于 1997 年 公开 征集 新 一 代 加 密 算法 ,希望 能 找到 一 种 新 的 加 密 算法 , 选 定 的 
算法 最 终 会 形成 AESCAdvanced Encryption Standard ,高 级 加 密 标 准 )。 新 的 加 密 算法 要 
求 满足 四 个 基本 条 件 : 运算 速度 要 比 三 重 DES 更 快 ; 安全 强度 不 低 于 三 重 DES; 数据 分 
组 长 度 采 用 128 位 ; 密 钥 可 支持 128/192/256 位 等 多 种 长 度 。 

1998 年 8 月 .在 首届 AES 会 议 上 公布 了 15 个 候选 算法 。1999 年 8 月 ,最 终 确 定 了 
五 个 算法 作为 候选 方案 进一步 提交 讨论 ,候选 算法 包括 RC6、Rijndael、Twofish、MARS、 
Serpent。 最 后 在 2000 年 10 月 , 选 定 由 比利时 的 Joan Daemen 和 Vincent Rijmen 提出 的 
Rijndael 算法 作为 AES 的 标准 算法 。Rijndael 算法 是 一 个 分 组 密码 算法 ,其 分 组 长 度 和 
密 钥 长 度 相互 独立 ,都 可 以 改变 ,分 组 长 度 可 以 支持 128 位 、192 位 、256 位 的 明文 分 组 长 
度 。NIST 对 算法 进行 了 一 定 的 修改 以 简化 其 复杂 度 ,修改 后 的 算法 只 提供 128 位 的 明 
文 分 组 长 度 , 能 符合 当时 的 各 种 主流 应 用 环境 。 

最 终 形成 的 AES 算法 是 一 个 对 称 密 钥 的 分 组 密码 ,是 一 个 采用 和 迭代 的 反复 重 排 方 式 
来 实现 加 解密 的 演算 法 ,以 128 位 (16 字 节 ) 分 组 大 小 加 密 和 解密 数据 。 算 法 采用 的 密 钥 
长 度 有 128、192、256 位 三 种 ,分 别 形成 AES-128、AES-192、AES-256 系统 。AES 标准 已 
成 为 NIST 用 于 加 密 电 子 数据 的 规范 ,由 于 采用 了 新 的 加 密 算法 ,这 样 可 更 好 地 保护 金 
融 、 电 信和 政府 数字 信息 的 安全 。 
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352 AES 算 法 设计 思想 


Rijndael 算法 分 组 大 小 和 密 钥 大 小 都 可 以 为 128、192 或 256 位 。 根 据 AES 标准 要 
求 ,只 有 分 组 长 度 为 128 位 的 Rijndael 才 称 为 AES 算法 。 本 节 只 讨论 分 组 长 度 为 128 位 
的 Rijndael 的 标准 版 本 。 图 3-37 显示 了 AES 输入 /输出 参数 。 





128/192/256 


k 











3-37 AES 输入 /输出 参数 


AES 算法 同时 支持 三 种 密 钥 长 度 。 一 般 而 言 ,加 密 轮 数 N, 取决 于 密 钥 长 度 4 ,两 者 
之 间 关 系 为 N, 二 6 十 li/32。 表 3-11 给 出 了 两 者 的 关系 。 


表 3-11 AES 轮 函 数 与 密 钥 关系 











轮 函 数 
参 数 
AES-128 AES-192 AES-256 
密 钥 长 度 NN, 128 192 256 
轮 数 1 10 12 14 











与 DES 不 同 ,AES 未 采用 Feistel 结构 。Feistel 网 络 在 每 轮 迭 代 中 并 没有 加 密 整 个 
分 组 ,例如 单 轮 DES 只 加 密 了 64/2 二 32 位 。 而 AES 在 一 次 迭代 中 就 加 密 了 所 有 128 
位 。 这 也 是 为 什么 AES 的 轮 数 比 DES 少 的 原因 。 

AES 加 密 框图 如 图 3-38 所 示 。 其 中 明文 用 xz 表示 , 密 文 用 y 表示 , 轮 数 用 N, 表示 。 
其 轮 函 数 是 由 三 个 不 同 的 可 道 变 换 组 成 的 。 每 个 变换 的 设计 遵循 “ 宽 轨 迹 策略 ”"。 所 谓 宽 
轨迹 策略 ,是 指 抗 线性 分 析 和 差分 分 析 的 一 种 策略 ,其 实现 思想 体现 在 轮 函 数 中 的 三 种 功 
能 层 。 

(1) 非 线性 层 ( 字 节 代 换 层 ) 

将 具有 最 优 的 “最 坏 情 况 非 线性 特性 ”的 S 盒 并 行使 用 , 即 状态 中 的 每 个 元 素 都 使 用 
具有 特殊 数学 属性 的 查找 表 进 行 非 线性 变换 。 这 种 方法 将 混淆 引入 数据 中 , 即 它 可 以 保 
证 对 单个 状态 位 的 修改 ,可 以 迅速 传播 到 整个 数据 路 径 中 。 这 就 导致 线性 逼近 和 差分 分 
布 表 中 的 各 项 趋 近 于 均匀 分 布 ,为 抵御 差分 和 线性 攻击 提供 了 安全 性 。 

(2) 线性 混合 层 (扩散 层 ) 

为 所 有 状态 位 提供 扩散 。 它 由 两 个 子 层 组 成 ,每 个 子 层 都 执行 线性 操作 。 

Oa 行 移 位 变换 (ShiftRows) 层 : 在 位 级 别 进行 数据 置换 。 

@ 列 混合 变换 (MixColumns) 层 : 是 一 个 混淆 操作 , 它 合并 (混合 ) 了 长 度 为 4 个 字 节 
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明文 x 密 钥 人 
天 了 
0 
密 钥 加 法 层 | | 变换 0 
第 ! 轮 扩散 层 
kh 1 
密 钥 加 法 层 变换 1 
过 
代 
MY 
轮 
字 节 代 换 层 
最 后 ! 轮 行 移 位 层 
ky, 1 
密 钥 加 法 层 。 忆 一 一 一 一 一 | 变换 MV 
图 3-38 ”AES 加 密 框图 
的 分 组 。 
(3) 密 钥 加 法 层 


128 位 轮 密 钥 (或 子 密 钥 ) 来 自 于 密 钥 生成 中 的 主 密 钥 , 它 将 与 状态 进行 相 加 ( 蜡 或 ) 

与 DES 类 似 ,AES 密 钥 的 生成 也 从 原始 AES 密 钥 中 计算 出 轮 密 钥 或 子 密 钥 (CA ， 
ki，,…,k,)。 在 AES 算法 中 , 除 第 一 轮 外 ,其 他 每 轮 都 是 由 三 种 功能 层 组 成 。 此 外 ,最 后 
一 轮 N, 并 没有 使 用 列 混合 变换 ,而 这 种 方式 使 得 加 密 方案 和 解密 方案 正好 对 称 。 


353 AES 算 法 相关 知识 
在 进一步 描述 各 层 的 内 部 功能 前 ,首先 定义 一 系列 基本 概念 。 


1 AES 算 法 的 基本 概念 
(1) 字 节 
AES 算法 中 的 基本 运算 单位 是 字 节 (byte) , 即 作为 一 个 整体 的 8 位 二 进 制 序列 。 算 
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法 的 输入 数据 、 输 出 数据 和 密 钥 都 以 字 节 为 单位 ,明文 、 密 钥 和 密 文 数据 串 被 分 隔 成 一 系 
列 8 个 连续 比特 的 分 组 ,并 形成 字 节 数组 。 假 设 一 个 8 字 节 的 分 组 5 是 由 字 节 序列 {b;， 
be ,bs ,b4 ,03 ,bs,b1,bo} 所 组 成 的 , 则 可 将 5; 看 作 一 个 7 次 多 项 式 b(z) 的 系数 , 即 
bx) 一 bz 十 bz 十 b5z5 十 bz 十 bzs 十 pz2 十 DZ 十 po 
式 中 ,2E{0,1)}。 
例如 ,{01010111} 表 示 成 多 项 式 为 xz’ 十 x 十 x? 十 xz 十 1。 
也 可 以 使 用 十 六 进 制 符号 来 表示 字 节 值 ,将 每 4 比特 表示 成 一 个 符号 便于 记忆 。 例 
如 ,{01010111} 王 (57)} 。 
(2) 字 节 数组 
输入 序列 按 字 节 划分 ,表示 形式 如 下 : 
{aoaiasasasasasarasasaianarzarauas} 
假设 将 128 位 输入 串 (io aa ya) 划分 成 字 节 , 字 节 和 字 节 内 的 比特 按照 如 下 
方式 排序 : 
ao = {iosiisis issid sis sie ir} 


> i se es 


a1s = {ilz0 9 i ril22 si123 i124 si12s »i126 ri127 } 

一 般 式 表示 : a 二 {is visnt1 sisnt2 risnt3 risnt4 sisnts sisnt6 sisn+7} ,其 中 0n 寺 15。 

(3) 状态 

AES 算法 的 运算 都 是 在 一 个 二 维 字 节 数 组 上 完成 的 ,这 个 数组 称 为 状态 (State) 。 当 
输入 的 明文 序列 转换 成 字 节 数组 后 ,进一步 将 一 维 的 字 节 数 组 内 容 转换 为 二 维 排列 ,就 形 
成 了 状态 矩阵 。 一 个 状态 矩阵 由 4 行 组 成 ,每 一 行 包括 Ni 个 字 节 ,和 的 值 等 于 分 组 长 度 除 
以 32。 状 态 矩 阵 用 s 表示 ,每 一 个 字 节 的 位 置 由 行 号 ~( 范 围 是 0 过 4) 和 列 号 c( 范 围 是 
0 私 c 过 No ) 唯 一 确定 , 记 为 5 或 ;Lr,c]。 在 AES 标准 中 状态 矩阵 参数 N, 一 4, 即 0<r<4。 

算法 在 加 密 和 解密 的 初始 阶段 将 输入 字 节 数组 {ino in ins ins in …inis } 复 制 到 如 
图 3-39 所 示 的 状态 矩阵 中 。 加 密 或 解密 的 运算 都 在 该 状态 矩阵 上 进行 ,最 后 的 计算 结 
果 输 出 并 复制 到 输出 字 节 数组 {out。 out outs outs outt…outs } 中 。 




































输入 字 节 状态 矩阵 输出 字 节 
ino | ins | ing | in Soo so IMso2l so3 outo | out4 | outs | out'> 
inl | ins | ing | ins S10 outi | outs | outo | outi3 
inz | ine | inyo | in S20 I Qut> | oute outi4 
in3 | iny | in | in's S30 outs | out7 | outii | out1s 






































3-39 ”AES 加 解密 状态 矩阵 运算 


在 加 密 和 解密 的 初始 阶段 ,输入 数组 in 转化 成 状态 矩阵 的 公式 如 下 : 
s[r,c] = inLr 十 4c] 
式 中 ,0 委 r 和 4,0 委 c<<N 。 
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在 加 密 和 解密 的 完成 阶段 ,状态 矩阵 将 按照 下 述 规则 转换 ,结果 存储 在 输出 数组 out 中 : 
out[Lr 十 4c] = sLr,c] 
式 中 ,0 委 r 生 4,0 委 c 王 No 。 
(4) 状态 矩阵 列 数组 
状态 矩阵 中 每 一 列 的 4 个 字 节 是 一 个 32 位 长 的 字 , 行 号 -是 这 个 字 中 每 个 字 节 的 索 
引 , 因 此 状态 矩阵 可 以 看 作 32 位 ( 列 ) 长 的 一 维 数组 , 列 号 c 是 该 数组 的 列 索 引 。 由 此 上 
例 中 的 状态 可 以 看 作 4 个 字 组 成 的 数组 ,表示 如 下 : 
co 一 [so ?51,0 952,0 »53,0] 
wi = [so 511 + 52,1953,1] 
wa 一 [50,2 »51,2»52,2 953,2] 


ws = [sos ysla ysz,sysa,3] 


2 有 限 域 基本 数学 运算 

AES 算法 的 基本 思想 是 基于 置换 和 代替 变换 的 演算 方法 。 其 中 ,置换 是 对 数据 的 重 
新 排列 ,而 代替 则 是 用 数据 替换 另 一 个 。AES 算法 中 的 所 有 字 节 按照 每 4 位 表示 成 有 限 
域 GF(2*) 中 的 一 个 元 素 。 这 个 有 限 域 元素 可 以 进行 加 减法 和 乘法 运算 ,但 是 这 些 运算 不 
同 于 代数 中 使 用 的 运算 。 下 面 介绍 有 限 域 相关 算法 的 基本 数学 概念 。 

(1) 加 减法 

在 有 限 域 中 ,多 项 式 的 加 法 运算 定义 为 两 个 元 素 对 应 多 项 式 相同 位 置 指数 项 相应 系 
数 的 “加 法 ”。 简 单 地 说 ,有 限 域 GF (2 ) 的 加 法 是 按 位 进行 异 或 XOR 运算 ( 记 为 田 ), 即 
模 2 加 。 多 项 式 减法 与 多 项 式 加 法 的 规则 相同 。 例 如 : 

{57} 十 {83} = (01010111), 四 (10000011), = (11010100), = {D4} 
以 多 项 式 表示 加 法 的 计算 过 程 如 下 : 
(zs 十 zt 十 ZX 十 ZX 十 1) 十 (TT? 十 Xz 十 1) = 二 x 十 x 十 Xt 十 ? 

(2) 乘法 

有 限 域 GF(2s) 的 乘法 运算 也 可 以 用 多 项 式 表示 。 乘 法 运算 很 容易 造成 溢出 问题 ,解决 
的 方法 是 多 项 式 相 乘 后 再 模 一 个 不 可 分 解 的 多 项 式 。 因 此 AES 算法 在 有 限 域 GF(2*) 上 的 
乘法 ( 记 为 。) 定 义 为 多 项 式 的 乘积 再 模 一 个 寡 次 数 为 8 的 不 可 约 多 项 式 m(z), 模 m(z) 确 
保 了 所 得 结果 是 次 数 小 于 8 的 二 元 多 项 式 , 因 此 可 以 用 一 个 字 节 表示 。m(z) 的 内 容 为 : 

m(z) 二 十 zt 十 x 十 zx 十 1 

或 用 十 六 进 制 表 示 该 多 项 式 为 {01) {1B})。 

例如 ,{57} 。{83} 二 (zs 十 x 十 Zz 十 x 十 1)。(z' 十 zx 十 1) 

=(2 二 让 2 直 放 二 十 2 十 交 生 志和 十 2 十 mod 




















和 
三 z' 十 x* 十 1 二 (11000001)s 二 {C1} 
(3) 乘法 
用 多 项 式 工 乘 以 5Cz) , 即 工 .0Cz) ,其 结果 可 以 表示 为 : 
brzs 二 bez' 二 bsz 十 baz 十 box 十 Doz3 十 bix? 十 box 
86 
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将 上 述 结果 模 m(z) 即 可 求 得 结果 。 如 果 得 到 的 结果 序列 中 : 
Q@ 6 一 0, 则 不 会 出 现 结果 溢出 问题 ,该 结果 即 是 模 运 算 后 的 正确 形式 。 
@ b= 二 1, 则 会 出 现 结果 溢出 问题 ,该 乘积 结果 需要 减 去 m (zx), 即 求 此 乘积 结果 与 
m(x) 的 异 或 。 
由 此 得 出 ,x( 即 {00000010); 或 {02)1s) 乘 以 56(x) 可 先 对 6b(x) 在 字 节 内 左 移 一 位 (最 
后 一 位 补 0) ,车 6b 二 1, 则 再 与 {1B)is (其 二 进 制 为 00011011) 做 逐 比 特异 或 来 实现 ,该 操 
作 记 为 5 二 xtime(a)。x 的 寡 乘 运算 可 以 通过 重复 应 用 ztime() 实 现 。 而 任意 常数 乘法 
可 以 通过 对 中 间 结 果 相 加 实现 。 
例如 ,{57}。{13}=={FE} ,因为 : 
{57} » {02} = ztime({57}) = {AE} 
{57} 。 {04} = xtime({AE}) = {47} 
{57} » {08} = ztime({47}) = {8E) 
{57} 。 {10} = ztime({8E}) = {07} 
所 以 {57}。{13}= 二 {57} *。({01}@@{02}@@{10}))={57}@@{AE} 旬 {07}= {FE}。 
(4) 系数 在 有 限 域 GF(23) 的 特殊 多 项 式 运算 
给 定 字符 向 量 转换 为 系数 在 有 限 域 GF (2 ) 中 的 多 项 式 ec(Cz) 一 aszs 十 aaz2z 十 az 十 
ao , 它 可 以 用 [au ,ai ,az ,asj 形 式 表 示 。 该 多 项 式 与 有 限 域 元素 定 义 中 使 用 的 多 项 式 操 作 
不 同 ,此 处 的 系数 本 身 就 是 有 限 域 元 素 , 即 是 字 节 (byte) 而 不 是 比特 (bit) ,系数 本 身 可 以 
用 另 一 个 有 限 域 多 项 式 表示 。 特 殊 的 4 项 多 项 式 的 乘法 可 使 用 不 同 的 模 多 项 式 M(z) 一 
好 十 1。 系 数 在 有 限 域 GF(2*) 中 的 多 项 式 运算 主要 有 乘法 和 乘 以 z 两 种 。 
@ 给 定 多 项 式 5(z) 王 bz 十 2z2 十 Oz 十 加 ,计算 az) 与 5Cz) 相 乘 。 令 d(x)= 
az)GCObCz) 一 dz 十 dz 十 dz 二 do, 即 : 
如 一 ao.p 申 oo 六 四 oo 六 四 wp0 
di=a* bo Bao bi Bas .bab 
中 一 as 加 由 ov 中 cv 六 由 op 
di =as°* bo Ba bhDBae*bDa :bs 





其 向 量 表 示 为 : 
do ao da az al|lbo 
di al ao ai as | 
d; 区 az a ao as|| 2 
ds aa az al ao lb; 


由 于 多 项 式 M(x) 二 x! 十 1 在 GF(2*) 下 可 能 不 是 可 约 多 项 式 ,因此 如 果 任 意 给 定 一 
个 4 项 多 项 式 ,在 模 M(xz) 下 不 一 定 存在 一 个 对 应 的 乘法 反 多 项 式 。 
在 AES 算法 中 ,对 多 项 式 b(z) ,这 种 乘法 运算 只 限于 乘 一 个 固定 的 有 逆 元 的 多 项 式 
az) 一 az 十 oz 十 az 十 ao, 即 存在 aCz)a '(z) 二 1 mod (x! 十 1) 关 系 。 
@ 计算 45(z) 乘 以 x。c(z) 二 x@b(z) 定 义 为 xz 与 5(zx) 的 模 M(z) 乘 法 , 即 c(Cz) 一 
XOb(T)=b2z’ 十 biz 十 box 十 63。 其 矩阵 表示 中 , 除 a1 二 01 外 ,其 他 所 有 a; 二 00, 即 : 
87 
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co 00 00 00 O01l]re 
a 01 00 00 00 lb, 
i 00 01 00 00 ||6b, 
cs 00 00 01 00jls, 
因此 ,z( 或 zx 的 客 ) 模 乘 多 项 式 相 当 于 对 字 节 构成 的 向 量 进行 字 节 循环 移 位 。 


354 AES 算 法 内 部 结构 


为 了 理解 数据 在 AES 内 部 的 传递 方式 ,首先 假设 状态 A( 即 128 位 的 数据 路 径 ) 是 由 
16 个 字 节 A。 ,Al，…,Ais 按 照 4X4( 字 节 ) 的 矩阵 方式 组 成 。 


























Ao A, As A 
Al A; A, Ai 
4: As An Au 
4: A; Au Au 


从 下 面 的 内 容 可 知 ,AES 操作 的 元 素 是 当前 状态 矩阵 的 行 或 列 。 同 样 , 密 钥 字 节 也 
是 以 矩阵 方式 排列 ,其 行 数 为 4, 列 数 可 以 为 4(128 位 的 密 钥 )、6(192 位 的 密 钥 ) 或 8(256 
位 的 密 钥 ) 。 


1 字 节 代 换 

字 节 代 换 是 一 个 非 线 性 可 逆 变 换 , 针 对 状态 矩阵 中 的 每 个 字 节 ,利用 替代 表 (S 盒 ) 进 
行 运算 ,表示 为 SubBytes(State) ,也 称 仿 射 变换 ,其 计算 过 程 主要 由 两 个 变换 复合 而 成 。 
两 个 变换 的 内 容 如 下 : 

Q@ 选取 有 限 域 GF(28) 上 的 乘法 逆 运 算 ,其 中 元 素 {00} 映 射 到 它 自 身 。 

@ 应 用 如 下 算法 完成 一 有 限 域 GF(2*) 上 的 仿 射 变换 : 

pb = b; ©® Deitymods © beitsymods ©® beiteymods 由 bitn mods 四 boitgymods © Ci 

算法 中 当 0<i<8 时 ,4 是 字 节 的 第 i 个 比特 ,ci 是 值 为 {63)( 即 {01100011)) 的 字 节 
c 数 组 的 第 i 个 比特 。 算 法 描述 中 以 5' 表 示 该 变量 将 用 右 侧 的 值 更 新 。 

首先 ,将 字 节 数据 看 成 GF(2*) 上 的 元 素 ,进行 模 M(xz) 运 算 映 射 到 自己 的 乘法 逆 ,0 
映射 到 自身 ; 其 次 , 作 GF(2) 的 仿 射 变换 ,该 变换 过 程 可 逆 。 预先 将 GF(2*) 上 的 每 个 元 
素 通 过 查 表 作 SubBytes 变换 ,形成 S 盒 。 与 DES 算法 中 S 盒 不 同 的 是 ,AES 算法 中 的 S 
盒 具有 一 定 的 代数 结构 ,而 DES 算法 中 是 人 为 指定 构造 的 。 

以 矩阵 的 形式 ,S 盒 的 仿 射 变换 可 表示 为 : 


bo i000 1 1 It 和 1 
bi 让 了 和 -站 " 布 下 衣 王 外 次 1 
bs Yi0 0 0 1 Tl 8 
| |1111000 1l6| |o 
wl i111100 olsltlo 
bs LL 1 00 Li 
b 全 站 年 下 了 如 | 下 | 1 
b; ,1 有 下 工业 了 有 坟 0 
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S 盒 的 仿 射 变换 在 状态 矩阵 上 的 变换 功能 如 图 3-40 所 示 。 


























boo | pol | bo | bos boo’ | po | bos’ | bos’ 
bio | bul| bz | bs bo ”| 5 | pa | bia’ 
S 盒 


























bo | b31 | b32 | b33 bo |bs1’ | ba2’ | bsa’ 























3-40 S 盒 的 仿 射 变换 


实际 运算 时 ,此 函数 可 以 通过 查 表 快 速 获 得 对 应 变换 值 , 字 节 变换 的 变换 值 如 表 3-12 
所 示 。 例 如 ,bi,1 二 {53), 查 字 节 变换 值 表 , 找 到 第 5 列 第 3 行 ,对 应 数值 为 {ed) ,表示 经 过 
字 节 替代 变换 后 b1,1 一 {ed)。 


表 3-12 S 盒 中 字 节 x,y 的 替代 值 (十 六 进 制 格式 ) 


村 





































































































a e0|32|3a|o0a|49|06 |24|5c|c2|d3|ac|62|91|95 |e4|79 

b e7 |c8|37|6d|8d|d5|4e|a9|6c|56 |f4| eal65|7a | ae | 08 

ba | 78 |25 |2e| lc|la6|b4|c |e8|dd|l74|1f|4b|lbd|8b| 8a 

d 70 | 3e|b5|66|48|03|1f16 |0e|61|35|57|b9|86 |cl |1d| 9e 

el |f8|98|11|69|d9|8e|94|9b|1le|87|e lce|155 | 28 | df 

f 8c al 89 | 0d bf e6 42 | 68 | 41 99 2d of bo | 54 | bb 16 
2 行 移 位 变换 


行 移 位 变换 是 在 状态 矩阵 的 行 上 进行 的 。 状 态 阵 列 的 后 3 行 分 别 以 ci 为 移 位 大 小 
循环 移 位 。 其 中 ,第 0 行 co 一 0, 即 保持 不 变 ; 第 1 行 循环 移 位 ci 字 节 ; 第 2 行 循环 移 位 
cz 字 节 ; 第 3 行 循环 移 位 cs 字 节 。 运 算 结果 是 将 行 中 的 字 节 移 向 较 低位 ,最 低位 的 字 节 
循环 移动 至 行 的 最 高 位 。128 位 状态 矩阵 的 行 移 位 变换 操作 如 图 3-41 所 示 。 

偏 移 量 c; 与 分 组 长 度 Ne 有关, 不同 分 组 长 度 的 行 移 位 变换 偏 移 量 如 表 3-13 所 示 。 
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信息 安全 技术 gm 
不 移 位 
S00 Sol So 8 S00 S04 S02 8 
和 00 Sol S02 S03 循环 左 移 1 位 00 So4 So So 
SI0 SI S12 S13 | Sl Sl2 33 Sio 
S20 $21 S22 Sn 循环 左 移 2 位 sp S23 3S20 S21 
S30 S31 $32 533 循环 左 移 3 位 S33 S30 S31 S30 
一 一 一 








图 3-41 128 位 状态 矩阵 的 行 移 位 变换 


表 3-13 不 同 分 组 长 度 的 行 移 位 变换 偏 移 量 











Ns c ca Ca 
4 1 2 3 
6 日 2 3 
8 1 3 4 














行 移 位 变换 实现 了 字 节 在 每 一 行 的 扩散 ,很 自然 地 想到 字 节 在 列 中 也 需要 扩散 。 


3 列 混合 变换 
列 混合 变换 在 状态 矩阵 上 ,按照 每 一 列 分 别 进 行 运算 ,并 将 每 一 列 看 作 有 限 域 4 次 多 
项 式 , 即 将 状态 的 列 看 作 GF(2*) 上 的 多 项 式 a(zx) 与 多 项 式 c(z) 相 乘 , 计 算 结果 对 固定 多 
项 式 M(x) 二 x' 十 1 取 模 。 多 项 式 c(z) 表 示 为 : 
c(Cz) = {03}zs 十 {01)z2 + {01}z+ 
其 中 ,系数 是 用 十 六 进 制 表示 的 ,并 且 c(z) 与 x' 十 1 互 素 。 
令 b(z)==c(x)@a(z) mod (xz 十 1) ,由 于 zl mod (zz 十 1) 一 zlmodd, 故 有 : 
加 一 covao 由 c va 中 ca 四 cvas 
刀 一 cvsao 由 cova 中 ca 中 c .as 
和 2 一 co。d 四 cvai 申 ca 四 cas 
b=c*a Me aPBa*a Do as 








{02} 


写成 矩阵 表示 形式 为 
bo 02 03 01 011fao 
bh 01 01 03 ollla 
bs 01 01 02 03||a: 
bs 03 01 01 02j|a; 






























































ey) ~ | 徊 bo || bos 
bio | DMP bis 
bo | Du byj ba3 
bo | bs bsy b3s 
































图 3-42 列 混合 变换 的 过 程 
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例 3-7 在 AES 列 混合 变换 中 , 模 多 项 式 M(z) 二 zx 十 zt 十 zx? 十 x 十 1, 请 根据 下 面 的 
状态 矩阵 ,填写 下 面 表格 空格 的 值 , 并 写 出 计算 过 程 。 


02 03 01 01][so so so sos So so S02 sos 
01 02 03 01|lso sa sa ss slo Sl Sl ss 
01 01 02 03|| seo sa sz $s23 剖 S20 S21 S22 so3 
03 01 01 02J|sso sa sa se ss0 sh Sse sh 








87 | F2 | 4D | 97 






































so 一 02。87 由 03. 6E 引 01 . A6 
00001110 中 00011011 申 11011100 中 01101110 由 01000110 中 10100110 
一 0100011 一 47 
sl1=01* F2®02 * 4C®D03 » E7®01 * 8C 
11110010@10011000@11001110@00011011@11100111@10001100 
=11010100=D4 
s2 =01* 4D@D01 * 90D02 * 4AD03 »: D8 
01001101@®10010000@10010100@101100000@00011011@11011000 
二 00111010==3A 
ss3=03*。 97@®01 + ECD01 + C3D02 » 95 
00101110@00011011@10010111@11101100@11000011 昌 
00101010@00011011 
二 10111100==BC 
故 空格 处 分 别 填 47,D4,3A,BC。 


4 轮 密 钥 加 变换 

在 轮 密 钥 加 变换 中 ,用 轮 密 钥 与 状态 矩阵 按 比 特 进 行 异 或 (XOR) 操 作 。 轮 密 钥 是 通 
过 主 密 钥 生 成 的 子 密 钥 ,为 了 便于 计算 , 轮 密 钥 的 长 度 等 于 分 组 长 度 , 每 一 个 轮 密 钥 由 Nm 
个 字 节 组 成 。 轮 密 钥 加 变换 的 过 程 如 图 3-43 所 示 。 



























































aoo | oo | 2o2 | 0o3 koo | 如 | hoz | los boo | bo | bo | bo3 

ip | A | 2 3 ho | kr | ka | hs bio | bi | biz | bis 
中 = 

020 | 02.1 | 022 | 223 ko | bo | ko2 | hs Do | bo | bo | 23 

030 | aa | aa2 | 033 ko | Br | ka2 | 3 bso | ba | bs32 | b33 















































图 3-43 轮 密 钥 加 变换 的 过 程 
an 
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例 3-8 设 AES 算法 分 组 长 度 为 128 ,输入 的 明文 M 王 32 6C A8 F6 42 31 8C D6 43 
72 64 E0 98 89 07 C3 , 密 钥 人 一 A3 61 89 B5 54 12 D8 90 F4 14 FC AB 81 70 AE 3F。 求 
AES 的 第 一 轮 输 出 。 

解 : 考虑 到 扩展 密 钥 的 前 Nx 个 字 是 由 密码 密 钥 填充 的 , 即 初 始 轮 密 钥 为 &。 明 文 与 
初始 轮 密 钥 加 得 : 91 0D 21 43 16 23 54 46 B7 66 98 4B 19 F9 A9 FC 

经 过 字 节 代 换 为 : DO Bl F4 8A 21 EB 4F AA 0E F6 3B F7 BD 84 C5 DF 

行 位 移 变换 得 : DO Bl F4 8A EB 4F AA 21 3B F7 0E F6 DF BD 84 C5 

列 混合 变换 得 : 79 E2 9C 43 8F Do 2D 0C 17 D7 D5 08 1E 18 Bo Cl 

轮 密 钥 加 变换 得 : A3 54 F4 81 61 12 14 70 89 D8 FC AE B5 90 AB 3F 

即 得 第 一 轮 输出 : DA B6 68 C2 EE C2 39 7C 9E OF 29 A6 AB 88 1B FE 


5 密 钥 扩 展 算 法 
下 面 以 128 位 的 密 钥 长 度 介 绍 密 钥 扩展 算法 ,其 他 192 位 和 256 位 的 密 钥 长 度 所 对 
应 的 密 钥 编排 存在 一 定 的 相似 性 。AES 的 密 钥 扩展 算法 是 面向 字 的 ,其 中 1 个 字 =32 
位 。 对 长 度 为 128 位 的 密 钥 而 言 , 它 对 应 的 轮 数 N, 二 10, 并 得 到 11 个 子 密 钥 , 且 每 个 密 
钥 的 长 度 均 为 128 位 。AES 轮 密 钥 ( 子 密 钥 )k; 的 计算 是 递归 的 , 即 为 了 得 到 子 密 钥 &;， 
子 密 钥 &-: 必 须 是 已 知 的 , 依 此 类 推 。 
11 个 子 密 钥 存储 在 元 素 为 W[0],…,W[43j] 的 密 钥 扩展 数组 W[ 门 中 。 子 密 钥 的 计 
算 方式 如 图 3-44 所 示 。 元 素 &。，… ,ks 表示 原始 AES 密 钥 对 应 的 字 节 。 
首先 ,需要 注意 的 是 ,第 一 个 子 密 钥 ie 为 原始 AES 密 钥 , 即 原始 密 钥 直接 被 复制 到 
扩展 密 钥 数组 W[ 站 的 前 4 个 元 素 中 。 从 图 中 可 知 , 子 密 钥 WL[4 让 (i 二 1,…,10) 最 左边 字 
的 计算 方式 为 : 
W[4i] = W[4Gi— DJ]+gW[4i—1]) 
这 里 的 g 表示 的 是 一 个 输入 和 输出 均 为 4 个 字 节 的 非 线性 函数 。 子 密 钥 其 余 的 三 个 
字 是 通过 递归 计算 得 到 的 : 
本 [4 生 十 门生 丈 [ 生 十 一 二 十 柬 [4G 一 1) 十 门 
其 中 ,一 1,…,'10; j 二 1,2,3。 函 数 g 首先 将 4 个 输入 字 节 翻转 ,并 执行 一 个 按 字 节 的 
S 盒 代 换 ,最 后 与 轮 系数 RC 相 加 。 轮 系数 是 GF(2 ) 域 中 的 一 个 元 素 , 即 为 一 个 8 位 的 
值 。 轮 系数 只 与 函数 g 最 左边 的 字 节 相 加 。 而 且 轮 系数 每 轮 都 会 改变 ,其 变换 规 
则 为 : 
RC[1] = x" = (00000001);, 
RC[L2] = zl = (00000010); 
RCL3] = z* = (00000100); 


RC[L10] = 2 = (00110110); 
函数 g 的 目的 有 两 个 : 第 一 ,增加 密 钥 编排 中 的 非 线 性 ; 第 二 ,消除 AES 中 的 对 称 
性 。 这 两 种 属性 都 是 抵抗 某 些 分 组 密码 攻击 所 必要 的 。 
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kokikoks kakskeky kskokioklt | Kikiakiakis 
32 32 | 32 站 32 
1 1 1 1 
轮 密 钥 0 WI[0] Ww[1] WI[2] Ww[3] 
































~ 中 由 第 轮 的 函数 g 
小 32 
1 


1 1 1 1 ey 站 | 均 [ 二 
轮 密 钥 1 Pd | ws | mo | wo 

























































































1 1 1 1 L 
轮 密 钥 9 WI[36] W[37] WI[38] W[39] 了 
OO 
中 [| | RcD| 了 
人 中 苇 中 




















1 1 1 


轮 密 钥 10 | wr40] | FI40 | wraz] | wra3l 

















3-44 128 位 密 钥 大 小 的 AES 密 钥 编排 


6 AES 解 密 

AES 的 解密 过 程 是 加 密 过 程 的 逆 运 算 。 解 密 算法 中 各 个 变换 的 操作 顺序 与 加 密 算 
法 不 同 ,但 是 加 密 和 解密 算法 中 的 密 钥 生成 形式 是 一 致 的 。AES 算法 的 若干 性 质保 证 了 
可 以 构造 一 个 等 价 的 解密 算法 ,解密 时 各 个 变换 的 操作 顺序 与 加 密 时 相反 (由 逆 变 换取 代 
原来 的 变换 )。 解 密 算 法 中 使 用 的 变换 依次 为 逆 列 混合 变换 .逆行 位 移 变 换 、 逆 字 节 变换 
和 轮 密 钥 加 变换 ,变换 作用 在 密 文 序列 对 应 的 状态 矩阵 上 。 上 有 具体 的 解密 过 程 如 图 3-45 
所 示 。 


355 AES 算 法 的 安全 性 


对 于 Rijndael 算法 的 安全 性 讨论 ,通过 对 以 下 已 知 的 攻击 方法 来 进行 分 析 。 
@ 穷 举 攻击 法 : Rijndael 算法 中 最 短 的 密 钥 长 度 是 128 比特 ,如 果 用 穷 举 法 则 需要 
2” 次 ,计算 量 是 非常 大 的 , 故 使 用 目前 技术 的 穷 举 法 是 无 效 的 。 
@ 差分 攻击 法 : 这 种 攻击 法 是 利用 大 量 已 知 的 明文 / 密 文 对 之 间 的 差异 来 推测 出 密 
钥 。 对 于 Rijndael 算法 , 当 轮 数 超过 三 轮 , 若 存 在 1/2”! (n 位 分 组 块 的 ) 长 度 可 预测 性 的 
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密 文 y 








ky 
密 钥 加 法 层 一 一 一 一 一 | 变换 N, 


i t 

逆向 的 N 轮 4 逆向 行 移 位 变换 层 
1 

逆向 字 节 代 换 层 

ky,-1 

密 钥 加 法 层 -| 变换 N,-1 

f f 

逆向 列 混合 变换 层 

I 






























































逆向 行 移 位 变换 层 


逆向 字 节 代 换 层 

















k 
密 钥 加 法 层 = 一 一 一 一 | 变换 1 


1 
逆向 列 混合 变换 层 



































逆向 行 移 位 变换 层 
= 


逆向 字 节 代替 层 


大 
密 钥 加 法 层 一 一 一 一 一 一 。 变换 0 
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明文 
x=AES"'(y) 





密 钥 




















3-45 ”AES 解密 过 程 


差异 ,这 种 攻击 法 就 可 以 推测 出 密 钥 的 位 元 值 ,在 Rijndael 算法 中 已 经 证 明 Rijndael 经 过 
四 轮 运算 后 ,存在 不 超过 2- 的 可 预测 性 差异 ,5 轮 运算 后 不 超过 2-”” 的 可 预测 差异 , 因 
此 可 以 说 这 种 攻击 法 对 Rijndael 算法 是 无 效 的 。 

@ 线性 攻击 法 : 这 种 攻击 法 利用 大 量 收集 到 的 明文 / 密 文 对 ,根据 其 中 可 预测 的 相 
对 关系 推导 出 一 个 代数 展开 式 ,只 要 能 找 出 相对 关系 数 超过 2” 的 线性 轨迹 ,就 可 以 找 出 
密 钥 值 。Rijndael 算法 已 经 被 证 明 执行 4 轮 运算 后 不 存在 相关 系数 大 于 2 天 的 线性 轨 
迹 ; 在 执行 8 轮 后 ,其 相关 系数 大 于 2-'” 的 相关 系数 也 不 存在 ,因此 可 以 说 这 种 攻击 法 对 
Rijndael 算法 是 无 效 的 。 

@ 平方 攻击 法 : 这 种 攻击 是 一 种 明文 攻击 ,攻击 强度 不 依赖 于 S 盒 列 混合 矩阵 和 密 
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钥 扩 散 准则 的 选取 ,但 迄今 为 止 这 种 攻击 法 只 能 够 对 经 过 不 超过 6 次 轮 运算 的 Rijndael 
算法 有 效 ,计算 量 为 2” 十 2% ,因此 可 以 说 这 种 攻击 法 对 Rijndael 算法 是 无 效 的 。 

@ 内 插 攻击 法 : 这 种 攻击 法 是 攻击 者 利用 加 密 的 输入 与 输出 配对 ,建立 一 些 多 项 
式 。 如 果 加 密 的 元 件 有 一 个 乘法 的 代数 展开 式 ,并 且 与 管理 的 复杂 度 结合 在 一 起 时 ,这 种 
攻击 便 是 可 行 的 。 攻 击 的 方式 是 如 果 攻 击 者 建立 的 代数 展开 式 的 阶 度 很 小 ,只 需要 一 些 
加 密 法 的 输入 和 输出 配对 就 可 以 得 到 代数 展开 式 的 各 项 系数 。 但 是 ,Rijndael 算法 中 的 
GF(2) 域 是 非常 复杂 的 ,因此 可 以 说 这 种 攻击 法 对 Rijndael 算法 是 无 效 的 。 

从 以 上 分 析 可 以 看 出 ,Rijndael 算法 对 已 知 的 攻击 具有 较 好 的 免疫 性 ,安全 性 比 
较 高 。 


5 IDEA 





361 IDEA 算 法 简介 


1990 年 ,瑞士 联邦 技术 学 院 的 Xuejia Lai 和 James Massey 提出 一 个 取代 DES 的 对 
称 密码 算法 , 称 为 PES(Proposed Encryption Standard ,建议 的 加 密 标 准 )。 为 提高 对 差 
分 密码 攻击 的 抵抗 能 力 ,设计 者 对 PES 经 过 两 次 修改 ,于 1992 年 将 修改 后 的 PES 改名 为 
IDEA (International Data Encryption Algorithm, 国际 数据 加 密 算 法 )。 类 似 于 DES， 
IDEA 算法 也 是 一 种 数据 块 加 密 算法 , 它 设计 了 一 系列 加 密 轮 次 ,每 轮 加 密 都 使 用 从 完整 
的 加 密 密 钥 中 生成 的 一 个 子 密 钥 。 与 DES 的 不 同 处 在 于 : 它 采用 软件 实现 和 采用 硬件 
实现 同样 快速 。 由 于 IDEA 是 在 美国 之 外 提出 并 发 展 起 来 的 , 避 开 了 美国 法 律 上 对 加 密 
技术 的 诸多 限制 ,因此 ,有 关 IDEA 算法 和 实现 技术 的 文献 都 可 以 自由 出 版 和 交流 , 极 大 
地 促进 了 IDEA 的 发 展 和 完善 。 

IDEA 的 分 组 长 度 是 64 位 , 密 钥 长 度 是 128 位 ,是 已 公开 的 可 用 算法 中 速度 快 且 安 
全 性 强 的 分 组 加 密 算法 ,不 但 具有 极 强 的 抗 攻击 能 力 , 而 且 具 有 和 良好 的 应 用 前 景 。 目 前 ， 
PGP 使 用 IDEA 作为 其 分 组 加 密 算法 ; 安全 套 接 字 层 SSL 也 将 IDEA 包含 在 其 加 密 算 
法 库 SSLRef 中 ; IDEA 算法 专利 的 所 有 者 Ascom 公司 也 推出 了 一 系列 基于 IDEA 算法 
的 安全 产品 ,包括 基于 IDEA 的 Exchange 安全 插件 ,IDEA 加 密 芯 片 IJDEA 加 密 软件 包 
等 。IDEA 算法 的 应 用 和 研究 正在 不 断 走向 成 熟 。 


362 IDEA 算 法 设计 思想 


分 组 密码 的 强度 ,主要 是 通过 混淆 和 扩散 来 实现 的 ,IDEA 算法 所 依据 的 设计 思想 是 
“混合 使 用 来 自 不 同 代 数 群 中 的 运算 ”。 
1 混淆 
算法 的 “混淆 ?性 由 连续 使 用 作用 于 一 对 16 比特 子 块 的 三 种 “不 相 容 ”的 群 运算 获得 ， 
这 三 种 16 位 的 基本 运算 如 下 。 
@ 蜡 或 运算 田 , 即 按 位 做 不 进位 加 法 运算 ,规则 为 : 
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1®@0=0®@1=1, 0@0=1@1=0 
@ 模 2* 加 运算 田 即 16 位 无 符号 整数 做 加 法 运算 ,规则 为 : 
XH =(X+Y) mod (2*) 
@ 模 (2* 十 1) 乘 运算 , 即 16 位 整数 做 乘法 运算 ,规则 为 : 
XOY = (XXY) mod (25 十 1) 
注意 : 模 (2* 十 1) 整 数 乘法 a©6 的 实现 公式 为 


((ab) mod 2")—((ab) div 2°)*((ab) mod 2")>((ab) div 2") 
(ab) mod (2" 十 1) 一 
((ab) mod 2 一 ((ab) div 2 ) 十 2 十 1…((ab) mod 2")<((ab) div 2") 


例如 , (04A5) 外 (B605) 三 (B2A0) 
(74A5)KB60B) 二 (2AB0) 
(0000) © (8000) 三 (2* X25) mod (2*+1) 三 (25 十 1) 三 (8001) 
在 三 种 不 同 的 群 运 算 中 ,要 特别 注意 2* 十 1 整数 乘法 运算 @ ,这 里 除了 将 16 位 的 全 
零 子 块 处 理 为 2* 外 ,其 余 16 位 的 子 块 均 按 通常 处 理 成 一 个 整数 的 二 进 制 形式 。 
三 种 运算 结合 起 来 使 用 可 对 算法 的 输入 提供 复杂 的 变换 ,从 而 使 得 对 IDEA 的 密码 
分 析 比 对 仅 使 用 异 或 运算 的 DES 更 为 困难 。 


2 扩散 

IDEA 加 密 算 法 中 的 “扩散 ”性 是 由 称 为 乘 加 (Multiplication/Addition, MA) 结 构 的 
基本 单元 实现 的 ,如 图 3-46 所 示 。 该 结构 的 输入 是 两 个 16 位 的 子 段 和 两 个 16 位 的 子 密 
钥 , 输 出 也 为 两 个 16 位 的 子 段 。 这 一 结构 在 算法 中 重复 使 用 8 次 , 除 获得 了 非常 有 效 的 
扩散 效果 之 外 ,还 保证 了 加 解密 过 程 的 相似 性 。 




















A B 
fi 
| 1 | 

i) 
1 MA | 
1 bi 1 
1 1 
1 上 FF 矿 一 一 一 所 
1 
| pe as! 








MA(UV) MA(UW) 
图 3-46 MA 运算 结构 


MA 结构 定义 : 设 4AB As 是 4 个 16 位 输入 码 , | 表示 位 串 的 拼接 , 则 32 位 输出 
码 MA(A,B,ki,ks) 可 表示 为 : 

MA(A,B,ki,ks) = ((AOR) H(AOR) EBB)OR)) | (AOR) EB) OR,) 

以 上 表达 式 中 的 括号 不 能 省 略 , 因 为 三 种 运算 中 的 任何 两 个 都 相互 不 可 分 配 ,也 不 可 
结合 。 

这 里 MA 运算 结构 作为 IDEA 的 主要 模块 ,相当 于 分 组 加 密 算 法 中 的 S 盒 作 用 。 
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363 ”IDEA 算 法 内 部 结构 
整个 算法 包括 数据 加 密 过 程 、 子 密 钥 产生 .数据 解密 过 程 三 部 分 。 


1. IDEA 和 迭代 过 程 

IDEA 加 密 算法 的 总 体 结构 如 图 3-47 所 示 。 这 里 加 密 函 数 有 两 类 输入 : 待 加 密 明 文 
和 密 钥 。 其 中 输入 的 64 位 明文 数据 块 x 被 分 成 4 个 16 位 子 块 zyzs,zsyzi, 即 工 一 
Zzizzz3z4。 这 4 个 分 组 作为 算法 的 第 1 轮 输入 ,整个 加 密 过 程 总 共 进 行 8 轮 循环 ,每 轮 循 
环 由 64 位 码 Wa, Wi, Wis, Wi 和 6 个 16 位 子 密 钥 Zu-b.s+l， Li-Deet2r Li-D eet3s 
Zo-bDuets Zui-Drets 9» Zu-buete 作 为 输 A 产 生 64 位 输 出 Watrv1 9» Wearuobz， Watvs 9 
Wer, 这 里 i 二 1,2,…,8。 最 后 再 经 过 一 次 输出 变换 得 到 4 个 16 位 子 分 组 密 文 m ,y ， 
yy 将 4 个 子 分 组 重新 连接 起 来 就 可 生成 密 文 y, 即 > 一 wyaysy 。 输 入 的 密 钥 Z 长 度 
为 128 位 ,通过 子 密 钥 生成 器 产生 52 个 16 位 子 密 钥 。 






































64 位 明文 128 位 密 钥 Z 
由 | | 一 是 子 密 钥 产生 器 
循环 1 16 
—— Z6 bd 
(Wd 1 | Wa Wa ZZ Zs 
-一 2 
循环 2 Ee 
天 一 Z2 











jms bm 1 ms Wa 



































1 了 7> 1 Wy Wa 
| 一 Zs 
循环 8 
J Zsg 
Ws We» Wss Wea 
1 1 
| 一 一 Zao 
输出 变换 
一 Zn 
Ba » | 为 ba 
64 位 密 文 》 


图 3-47 IDEA 算法 总 体 加 密 框 图 


IDEA 加 密 算法 详细 迭代 过 程 如 图 3-48 所 示 ,其 中 每 轮 迭 代 运 算 分 为 以 下 两 部 分 。 
第 一 部 分 是 变换 运算 ,其 方法 是 采用 加 法 及 乘法 运算 将 4 个 16 位 的 子 明 文 分 组 与 
4 个 子 密 钥 混合 ,产生 4 个 16 位 的 输出 。 
第 二 部 分 是 用 于 产生 扩散 性 的 乘 加 (MA) 运 算 。MA 运算 生成 2 个 16 位 的 输出 。 
MA 的 输出 再 与 变换 运算 的 输出 采用 XOR 运算 产生 4 个 16 位 的 最 后 输出 ,这 4 个 16 位 
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输出 变换 
2 So 为 出 Zz Z 一 ~ () 
为 


1 | 1 

Bdl 为 只 
:16 比 特 明文 子 块 yi: 16 比 特 密 文子 块 
Z 0 16 比 特 密 钥 子 块 (外: 16 比 特 子 块 的 逐 比特 异 或 
: 16 比 特 整数 的 模 246 加 人 ): 16 比特 整数 的 模 2+1 乘 


(其 中 全 零 子 块 对 应 21) 
图 3-48 IDEA 算法 迭代 过 程 


的 最 后 输出 即 成 为 下 一 轮 运算 的 原始 输入 。 在 这 4 个 最 后 结果 中 的 第 2、3 个 输出 是 经 位 
置 互 换 而 得 到 的 ,这 样 处 理 的 目的 是 对 抗 差分 分 析 攻击 。 
下 面 是 IDEA 算法 具体 的 变换 过 程 。 
Q@ zi 和 第 1 个 子 密 钥 ZI” 做 乘法 运算 。 
@ zs 和 第 2 个 子 密 钥 Z2 做 加 法 运算 。 
@ zs 和 第 3 个 子 密 钥 ZS” 做 加 法 运算 。 
@ zk 和 第 4 个 子 密 钥 Zi? 做 乘法 运算 。 
@ 将 中 和 四 的 结果 相 异 或 。 
@ 将 @ 和 @ 的 结果 相 异 或 。 
@ 将 @ 的 结果 与 Z3” 相 乘 。 
@ 将 @ 和 @ 的 结果 相 加 。 
@@ 将 @ 的 结果 与 Zs?” 相 乘 。 
@ 将 @ 和 加 的 结果 相 加 。 
@@ 将 @@ 和 @ 的 结果 相 异 或 。 
@@ 将 (3) 和 (9) 的 结果 相 异 或 。 
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加 将 @ 和 四 的 结果 相 异 或 。 

@@ 将 @@ 和 四 的 结果 相 异 或 。 

第 一 轮 的 输出 是 4 个子 块 , 即 @、@@、@ 和 @ 的 结果 。 将 中 间 两 个 块 交换 (最 后 一 轮 除 
外 ) 后 ,就 是 下 一 轮 的 输入 。 

在 经 过 8 轮 运算 之 后 ,IDEA 使 用 一 个 输出 变换 对 8 轮 和 迭代 的 结果 进行 运算 ,输出 变 
换 在 进行 运算 前 将 第 2 个 输入 与 第 3 个 输入 进行 互 换 ,这 实际 上 是 将 第 8 轮 迭 代 运 算 最 
后 所 做 的 互 换 抵 消 了 ,这 种 特殊 安排 的 目的 在 于 可 以 使 用 与 加 密 算 法 相同 结构 的 解密 算 
法 进行 解密 ,从 而 简化 了 设计 及 使 用 IDEA 算法 的 复杂 性 。 输 出 变换 的 过 程 如 下 : 

QO@ z 和 ZI” 相 乘 。 

@ zs 和 Zs 相 加 。 

@ zs 和 ZS” 相 加 。 

@ zs 和 ZI 相 乘 。 

将 这 4 步 运算 的 结果 连 到 一 起 就 是 最 后 产生 的 正式 密 文 。 


2 IDEA 密 钥 生 成 过 程 

在 加 密 之 前 ,IDEA 需要 通过 密 钥 扩展 (Key Expansion) 将 128 位 的 密 钥 扩 展 为 52 
个 子 密 钥 。 加 密 算法 进行 迭代 操作 时 ,每 轮 需 要 6 个 子 密 钥 ,另外 还 需要 4 个 额外 子 密 钥 
用 于 输出 变换 。 

整个 密 钥 的 扩展 的 过 程 如 表 3-14 所 示 , 为 了 能 够 看 清楚 8 轮 迭 代 的 关系 ,在 表 中 用 
粗 线 条 将 每 轮 进行 了 区 别 。 将 128 位 密 钥 按 位 编号 为 (0,1,2,… ,127), 表 3-14 中 单元 格 
的 内 容 表 示 128 位 密 钥 子 段 的 范围 。 例 如 ,16 一 31 表示 (16,17,18,…,31),121 一 8 表示 
(121,122,…,127,1,2,…,8)。 


表 3-14 IDEA 的 密 钥 扩展 过 程 























r ki 2 ks ks ks ke 
1 0~15 16~31 32~47 48 一 63 64 一 79 80 一 95 
一 | om | na | 0 le | 00 

3 89~104 105~120 121~8 9~24 | 50~65 66~81 

4 82~97 98 一 113 114 一 1 2 一 17 18 一 33 34 一 49 

5 75 一 90 91 一 106 107 一 122 123 一 10 11~26 27~42 

6 43 一 58 59 一 74 100 一 115 116 一 3 4 一 19 20 一 35 

沉 36 一 51 52 一 67 68 一 83 84 一 99 125 一 12 13 一 28 

8 29 一 44 45 一 60 61 一 76 377 一 92 93 一 108 109 一 124 

9 22 一 37 38 一 53 54 一 69 70~85 2 




















下 面 详细 说 明 密 钥 扩展 过 程 。 首 先 , 将 128 位 密 钥 表述 为 & 二 bobi…bizt。 
第 1 轮 : 将 此 128 位 密 钥 分 成 8 段 , 依 次 得 8 个子 密 钥 : 
ZY =b01bs ,ZH = bb ba ,Zh = bso ba bos » Z1 = boe bor bi » ZE? = bns 
busa…b127 ,即将 8 段 中 的 前 6 段 密 钥 用 于 第 1 轮 加 密 , 后 2 段 用 于 第 2 轮 。 
第 2 轮 : 将 循环 左 移 25 位 ,得 bos B26…bizrbob1*…bz 。 
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将 此 左 移 后 的 128 位 密 钥 再 分 成 8 段 , 前 4 段 用 于 第 2 轮 的 子 密 钥 : Z2 ,Z922 ,Z2 ， 
Zt?; 后 4 段 用 于 构成 第 3 轮子 密 钥 的 前 半 部 分 : Zi ,Z22 ,Z52 ,ZI? 。 

第 3 轮 : 再 次 把 第 2 轮 的 & 循环 左 移 25 位 ,同样 分 成 8 段 ,前 2 段 用 于 构造 第 3 轮子 
密 钥 ; 后 6 段 用 于 下 一 轮 。 

依 此 继续 操作 , 当 循 环 左 移 了 5 次 之 后 ,已 经 生成 了 48 个 子 密 钥 ,还 有 4 个 额外 的 子 
密 钥 需要 生成 ,再 次 把 & 循环 左 移 25 位 ,选取 划分 出 来 的 8 个 16 位 子 密 钥 的 前 4 个 作为 
那 4 个 额外 加 密 密 钥 。 至 此 , 供 加 密使 用 的 52 个 子 密 钥 生成 完毕 。 


3 IDEA 的 解密 过 程 

IDEA 的 解密 过 程 本 质 上 与 加 密 过 程 相同 ,所 不 同 的 是 参与 迭代 运算 的 解密 子 密 负 
的 生成 方式 。 解 密 密 钥 和 加 密 密 钥 有 一 个 对 应 关系 ,其 子 密 钥 外 ”是 从 加 密 密 钥 Z8 导 
出 的 。 导 出 关系 如 下 : 


1 


-1 

(RD RS? kD kD) = (zl ,eh ,hn ,0 ), = 2,.,8 
_ 1 a 攻 1 

(RD ,RD RD RP) 一 (zl ,edn ,0 ), r=1,9 

Ck kD) 一 (zx ), r=1,%,8 


这 里 Z71! 表 示 Z mod (2* 十 1) 乘 法 的 逆 , 即 ZO©Z71 寺 1 mod (2 十 1); 一 Z 表示 
Z mod 25 加 法 的 道 , 即 Z© 一 Z 夺 0 mod 2 。 

以 上 解密 密 钥 导出 的 公式 描述 如 下 。 

@ 第 -~(r 一 1,2,…,9) 轮 解密 的 前 4 个子 密 钥 是 由 加 密 过 程 第 (10 一 x) 轮 的 前 4 个子 
密 钥 导 出 的 ,其 中 变换 阶段 被 记 为 循环 9。 解密 密 钥 的 第 1 个 和 第 4 个子 密 钥 取 为 相应 
的 第 1 个 和 第 4 个 加 密 子 密 钥 模 2”* 十 1 乘法 逆 元 。 第 2 个 和 第 3 个 解密 子 密 钥 取 法 为 : 
当 轮 数 二 2,…,8 时 , 取 为 相应 的 第 3 个 和 第 2 个 加 密 子 密 钥 的 模 2 加 法 逆 元 ; 当 +=1 
和 9 时 , 取 为 相应 的 第 2 个 和 第 3 个 加 密 子 密 钥 的 模 25 加 法 逆 元 。 

Q@ 第 -~(r=1,2,…,'8) 轮 解密 的 后 两 个 子 密 钥 等 于 加 密 过 程 的 第 (9 一 ”) 轮 的 后 两 个 
子 密 钥 。 


364 IDEA 算 法 的 安全 性 


IDEA 算法 的 密 钥 长 度 为 128 位 。 自 1991 年 提出 至 今 ,设计 者 尽 最 大 努力 使 该 算法 
不 受 差 分 密码 分 析 的 影响 ,数学 家 已 证 明 IDEA 算法 在 其 8 轮 迭 代 的 第 4 轮 之 后 便 不 受 
差分 密码 分 析 的 影响 。 假 定 穷 举 法 攻击 有 效 ,那么 即使 设计 一 种 每 秒 可 以 试验 10 亿 个 密 
钥 的 专用 芯片 ,并 将 10 亿 片 这 样 的 芯片 用 于 此 项 工作 , 仍 需 103 年 才能 解决 问题 ; 车 用 
102# 片 这 样 的 芯片 ,有 可 能 在 一 天 内 找到 密 钥 ,不 过 人 们 还 无 法 找到 足够 的 硅 原子 来 制造 
这 样 一 台 机 器 。 目 前 , 尚 无 公开 发 表 的 试图 对 IDEA 进行 密码 分 析 的 文章 。 因 此 ,目前 看 
IDEA 是 非常 安全 的 ,并 且 IDEA 数据 比较 RSA 算法 加 、 解 决 速度 快 得 多 ,又 比 DES 算 法 
要 相对 安全 得 多 。 
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53 分 组 密码 的 工作 模式 





分 组 密码 是 最 基本 的 密码 技术 之 一 ,其 处 理 消 息 的 长 度 是 固定 的 ,如 DES 为 64 位 ， 
AES 为 128 位 ,但 是 在 实际 中 需要 处 理 的 消息 通常 是 任意 长 的 , 且 要 求 密 文 尽 量 不 确定 ， 
同时 需要 采用 适当 的 方式 来 隐蔽 明文 的 统计 特性 、 数 据 的 格式 等 ,以 提高 整体 的 安全 性 。 
这 些 要 求 分 组 密码 自身 不 能 做 到 ,因此 ,引出 了 如 何 利用 分 组 密码 处 理 任意 长 度 消息 的 问 
题 ,解决 这 个 问题 的 技术 就 是 分 组 密码 的 工作 模式 。1980 年 12 月 ,FIPS 81 标准 化 了 为 
DES 开发 的 五 种 工作 模式 。 这 些 工 作 模式 适合 任何 分 组 密码 。 本 节 以 DES 为 例 介绍 分 
组 密码 主要 的 五 种 工作 模式 。 


371 电码 本 模式 


对 给 定 的 随机 密 钥 ,每 一 块 明文 对 应 固定 的 密 文 块 , 即 相同 的 明文 组 蕴含 着 相同 的 密 
文 组 ,类 似 电 码 本 中 的 码 字 ,因此 又 称 电码 本 (Electronic Code Book,ECB) 模 式 , 如 图 3-49 所 
示 。 电 码 本 (ECB) 模 式 是 分 组 密码 最 简单 的 工作 模式 。 加 密 算法 和 解密 算法 定义 如 下 。 

加 密 算法 : C;==E,(M;)(i=1,2,*…,m) 

解密 算法 : M; 王 Di(CD)G 一 1.2, ,72) 
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图 3-49 ECB 工作 模式 


上 述 算法 中 ,M== MiM2…M 表示 明文 ; C= 二 C1Cse…C 表示 相应 的 密 文 。 每 个 分 组 
块 M; 长 度 为 64 位 ,如 果 最 后 一 个 分 组 不 够 64 位 , 则 需要 填充 0 或 1。 

ECB 模式 的 优点 是 可 并 行 运算 .速度 快 和 易于 标准 化 。 缺 点 是 分 组 加 密 不 能 隐蔽 数 
据 格式 ; 不 能 抵抗 组 的 重 放 、 嵌 入 、 删 除 等 攻击 ; 加 密 长 度 只 能 是 分 组 的 倍数 。 因 此 ,ECB 
模式 仅 适 用 于 短 数据 加 密 ,如 果 需 要 安全 地 传递 DES 密 钥 ,ECB 是 最 合适 的 模式 。 


372 密码 分 组 链接 模式 


为 了 解决 ECB 的 安全 缺陷 ,可 以 让 重复 的 明文 分 组 产生 不 同 的 密 文 分 组 ,密码 分 组 
链接 (Cipher Block Chaining,CBC) 模 式 就 可 满足 这 一 要 求 。CBC 模式 主要 基于 两 种 思 
想 。 第 一 ,所 有 分 组 的 加 密 都 链接 在 一 起 ,其 中 各 分 组 所 用 的 密 钥 相同 。 加 密 时 输入 的 是 

101 


mm 信息 安全 技术 EGG 


当前 的 明文 分 组 和 上 一 个 密 文 分 组 的 异 或 ,这 样 使 得 密 文 分 组 不 仅 依赖 当前 明文 分 组 ,而 
且 还 依赖 前 面 所 有 的 明文 分 组 。 因此, 加密 算法 的 输入 不 会 显示 出 与 这 次 的 明文 分 组 之 
间 的 固定 关系 ,所 以 重复 的 明文 分 组 不 会 在 密 文中 暴露 出 这 种 重复 关系 。 第 二 ,加 密 过 程 
使 用 初始 量 (IV) 进 行 了 随机 化 。 图 3-50 是 CBC 工作 模式 示意 图 。 
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3-50 ”CBC 工作 模式 示意 图 
加 密 算法 和 解密 算法 定义 如 下 。 
加 密 算法 : 
Ci=E,(C1 DBM) (i=1,2,*,m) 
Co=IV 
解密 算法 : 
M;=D (Ci)BCi1 (i=1,2,.,m) 
Co 一 IV 


CBC 模式 的 优点 是 引入 了 收发 双方 相互 可 公开 的 随机 初始 量 Co=IV ,为 使 安全 性 
最 高 ,IV 应 像 密 钥 一 样 被 保护 ,可 使 用 ECB 加 密 模式 来 发 送 IV。 保 护 IV 的 原因 : 如 果 
敌手 算 改 IV 中 的 某 些 比特 , 则 接收 方 收 到 的 Mi 中 相应 的 比特 也 发 生 了 变化 。 

如 果 加 密 算法 EE 是 伪 随 机 的 , 则 输出 具有 一 定 的 随机 性 ,避免 了 ECB 模式 的 缺点 ， 
隐蔽 了 明文 的 数据 格式 ,在 一 定 程度 上 能 防止 数据 窜改 。 缺 点 是 会 出 现 错误 传播 , 密 文 
C; 在 传输 中 发 生 错 误 不 仅 影响 C; 的 正确 译文 ,还 会 影响 其 后 Ci+ 的 正确 解密 。CBC 模 
式 不 能 纠正 传输 中 的 同步 差错 , 即 传输 中 增加 或 丢失 一 个 或 多 个 比特 所 引起 的 密 文 组 边 
缘 的 错乱 。CBC 模式 是 应 用 最 广 、 影 响 也 最 大 的 一 个 工作 模式 ,适合 加 密 长 度 大 于 64 位 
的 消息 ,但 消息 长 度 只 能 是 分 组 长 度 的 倍数 ,不 能 是 任意 长 度 的 消息 ; 此 外 ,CBC 模式 还 
可 以 用 来 实现 报 文 的 完整 性 认证 和 用 户 的 身份 认证 。 


373 密码 反馈 模式 


上 述 的 CBC 模式 非常 适用 于 大 量 信息 的 加 密 , 然 而 在 实时 (Real-Time) 通 信和 的 应 用 
中 ,如 果 接 收 方 收 到 发 送 方 传送 的 密 文 后 , 想 立 即 解密 时 ,就 不 适用 了 ,此 时 效率 就 变 成 非 
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常 重要 的 问题 ,这 种 情况 下 密码 反馈 (Cipher Feedback,CFB) 模 式 加 密 就 派 上 用 场 了 。 

利用 CFB 模式 思想 是 : 把 分 组 密码 当 作 流 密码 使 用 , 即 CFB 模式 可 将 DES 分 组 密 
码 置 换 成 流 密码 。 流 密码 具有 密 文 和 明文 长 度 一 致 运 行 实时 的 性 质 ,这 样 数 据 可 以 在 比 
分 组 小 得 多 的 单元 里 进行 加 密 。 如 果 需 要 发 送 的 每 个 字符 长 为 8 比特 ,就 应 使 用 8 比特 
密 钥 来 加 密 每 个 字符 。 如 果 长 度 超过 8 比特 , 则 造成 浪费 。 但 是 要 注意 ,由 于 CFB 模式 
中 分 组 密码 是 以 流 密码 方式 使 用 ,所 以 加 密 和 解密 操作 完全 相同 ,因此 无 法 适用 于 公 钥 密 
码 系统 ,只 能 适用 于 对 称 密 钥 密 码 系统 。 

加 密 算法 和 解密 算法 定义 如 下 : 设 原 分 组 密码 长 度 为 1, 以 流 密码 方式 传送 的 单元 长 
度 为 ,一般 取 s==8 且 1<=s 二 /。 如 图 3-51 所 示 , 明 文 M 被 划分 成 明文 组 MiM,…M;… 
M ,其 中 M;(1 志 i 二 mm) 都 为 s 比特 。 
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图 3-51 CFB 工作 模式 


MSB,(X): 表示 从 自 变量 X 中 选择 最 左 侧 ( 最 高 有 效 位 )s 比特 输出 。 

LSB,_,(X): 表示 把 自 变 量 X 的 内 容 向 左 移 位 s 比特 (最 左边 的 s 比特 丢失 了 ) 。 

| : 表示 串联 。 

加 密 算 法 : C= 二 MMSB,(E,(IV)) 

C;=M;:BMSB,(E; (LSB,_ (11) | C1)) (i=2,3,.°,m) 
解密 算法 : Mi 二 C1,@MSB,(E,(IV)) 
M:;=C:BMSB, (Ei: (LSB,_,(1i1) || Ci 1)) (i=2,3,° ,mm) 

加 密 时 ,加 密 算法 的 输入 是 64 比特 移 位 寄存 器 ,其 初 值 为 某 个 初始 量 IV。 加 密 算法 
输出 的 最 左 ( 最 高 有 效 位 )s 比特 与 明文 的 第 一 个 单元 Mi 进行 异 或 ,产生 出 密 文 的 第 一 个 
单元 Ci ,并 传送 该 单元 。 然 后 将 移 位 寄存 器 的 内 容 左 移 * 位 ,并 将 C, 送 入 移 位 寄存 器 最 
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右边 (最 低 有 效 位 )s 位 。 这 一 过 程 继 续 到 明文 的 所 有 单元 都 被 加 密 为 止 。 

解密 时 ,将 收 到 的 密 文 单元 与 加 密 函 数 的 输出 进行 异 或 。 注 意 这 时 仍然 使 用 加 密 算 
法 而 不 是 解密 算法 ,原因 如 下 : C 一 MMSB,(Ei(IV)); Mi 二 C1/@MSB,(E(IV))。 可 
证 明 以 后 各 步 也 有 类 似 的 这 种 关系 。 

CFB 模式 也 需要 一 个 初始 量 IV ;无须 保密 ,但 对 每 条 消息 必须 有 一 个 不 同 的 IV。 

CFB 模式 的 缺点 : 

Q@ 对 信道 错误 较 敏感 , 且 会 造成 错误 传播 。 

@ 数据 加 密 的 速率 被 降低 。 

CFB 模式 的 优点 : 

Q@ 可 以 处 理 任意 长 度 的 消息 ,能 适应 用 户 不 同 数据 格式 的 需要 。 

@ 可 实现 自 同步 功能 。 

@ 具有 有 限 步 的 错误 传播 , 除 能 获得 保密 性 外 ,还 可 用 于 认证 。 

@ 具备 CBC 模式 的 优点 。 

该 模式 适应 于 数据 库 加 密 、 无 线 通信 加 密 等 对 数据 格式 有 特殊 要 求 或 密 文 信号 容易 
丢失 或 出 错 的 应 用 环境 。 


374 输出 反馈 模式 


输出 反馈 (Output Feedback,OFB) 模 式 的 结构 类 似 于 CFB 模式 ,也 把 分 组 密码 置换 
成 流 密码 的 形式 进行 加 密 处 理 , 如 图 3-52 所 示 。 不 同 之 处 在 于 OFB 模式 将 加 密 算 法 的 
输出 反馈 到 移 位 寄存 器 ,而 CFB 模式 是 将 密 文 单元 反馈 到 移 位 寄存 器 , 即 OFB 模式 加 密 
后 的 初始 量 没有 与 明文 进行 异 或 操作 。 事 实 上 对 于 第 一 组 明文 ,初始 量 加 密 以 后 作为 第 二 
组 明文 的 输入 并 且 再 与 第 一 组 明文 进行 异 或 操作 。 后 续 的 加 密 操作 都 发 生 在 异 或 之 前 。 




























































































IV 机 
| 玉 | + 
有 于 本 E: 
! 1 
ee 2 加 密 算法 
M, Ms 让 
dv 4d 要 
1 和 
Er E: 1 
1 
1 
a -1 解密 算法 
Mi M 
图 3-52 OFB 工作 模式 
加 密 算法 和 解密 算法 定义 如 下 。 


加 密 算法 : 
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Oo,=IV 
O;:=Ei(0;i1) Ci=M;:DO;(i=1,2,°,m—1) 
On=E(O,1) C=M,.DMSB,(E,(O,)) 








解密 算法 : 
(y= 
Oi:=E(0i1) M;=C:@BO0;:(i=1,2,,m—1) 
O,=E.(O,1) M,=C,DMSB,(E,(O,)) 
OFB 模式 的 初始 量 IV 的 要 求 同 CFB 模式 相同 ,也 无 须 保密 ,对 每 条 消息 也 必须 选 
择 不 同 的 IV。 
OFB 模式 的 优点 : 
@ 错误 传播 小 ,如 C, 中 的 1 比特 错误 只 导致 M, 中 的 1 比特 错误 ,后面 各 明文 单元 
则 不 受 影响 ; 而 在 CFB 中 ,Ci 也 作为 移 位 寄存 器 的 输入 ,因此 它 的 1 比特 错误 会 影响 解 
密 结 果 中 各 明文 单元 的 值 。 
@ 消息 长 度 是 任意 的 ,可 以 预 处 理 ,并 且 可 在 线 处 理 ( 随 时 处 理 明 文 ) 等 。 
OFB 模式 的 引入 是 为 了 克服 CBC 和 CFB 这 两 种 模式 中 存在 的 错误 传播 问题 。OFB 模 
式 虽 然 不 存在 错误 传播 问题 ,但 对 密 文 是 否 被 算 改 难以 进行 检测 ,因此 比 CFB 模式 更 易 遭 
受 攻击 ,好 在 OFB 模式 多 在 同步 信道 中 运行 ,对 手 难以 知道 消息 的 起 止 点 而 使 自 改 攻击 不 
易 奏 效 。OFB 模式 不 具有 自 同步 能 力 , 系 统 必须 保持 严格 的 同步 ,否则 难以 解密 。 在 实际 
应 用 中 , 比 其 他 模式 更 适用 于 不 太 稳 定 的 信道 (噪声 通道 ) 上 加 密 , 如 人 造 卫 星 通信 中 的 
加 密 。 


375 计数 器 模式 


CBC 模式 和 和 CFB 模式 都 存在 这 样 一 个 问题 : 不 能 以 随机 顺序 来 访问 加 密 的 数据 ， 
因为 当前 密 文 数据 块 的 解密 依赖 于 前 面 的 密 文 块 。 而 这 个 问题 对 于 很 多 应 用 来 说 ,特别 
是 数据 库 的 应 用 ,是 很 难 接受 的 。 为 此 ,又 出 现 了 另 一 种 工作 模式 , 即 计数 器 (Counter， 
CTR) 模 式 。 

CTR 模式 本 质 上 和 OFB 模式 很 类 似 , 都 是 将 分 组 密码 变 为 流 密 码 , 如 图 3-53 所 示 。 
两 者 的 区 别 在 于 : CTR 模式 通过 递增 一 个 加 密 计数 器 来 产生 连续 的 密 钥 流 , 密 钥 流 的 产 
生 之 间 是 没有 关联 的 ,而 是 由 计数 器 来 提供 ; 而 OFB 模式 中 的 密 钥 流 是 逐 级 反馈 的 。 
CTR 模式 中 计数 器 可 以 是 任意 保证 不 产生 长 时 间 重 复 输出 的 函数 ,但 使 用 一 个 普通 的 计 
数 器 是 最 简单 和 最 常见 的 做 法 。 

加 密 算法 和 解密 算法 如 下 定义 。 

加 密 算法 : 

C= MOE(T) G=1,2,.…,m—1) 
Cn = M。 OD MSBim, (ET,)) 
解密 算法 : 





M;=C@E(T) (=1,2,…,m—1) 
Ma = Cn 由 MSBlw 1 (E:(T»)) 
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3-53 ”CTR 工作 模式 


CTR 模式 需要 计数 器 序列 T,… ,T;,…,T, ,通过 对 计数 器 序列 调用 分 组 加 密 算法 
得 到 密 钥 流 ,然后 和 明文 异 或 得 到 密 文 。 对 计数 器 序列 的 要 求 是 两 两 不 同 ,而 且 不 仅 是 在 
一 个 消息 的 操作 中 ,而 且 是 在 同一 密 钥 的 所 有 操作 中 均 要 求 所 用 计数 器 序列 两 两 不 同 。 

也 许 有 人 会 问 ,为 什么 需要 这 么 多 模式 ? CTR 模式 最 吸引 人 的 一 个 特点 就 是 可 以 并 
行 化 ,因为 CTR 模式 不 需要 任何 反馈 ,这 与 OFB 或 CFB 模式 完全 不 同 。 所 以 可 以 让 两 
个 分 组 密码 引擎 同时 并 行 工 作 , 即 让 两 个 引擎 同时 使 用 第 一 个 分 组 密码 加 密 计数 器 值 
CTR1 和 CTR2。 等 这 两 个 分 组 密码 引擎 完成 后 ,第 一 个 引擎 将 继续 加 密 值 CTR3, 而 另 
一 个 引擎 则 继续 加 密 CTR4, 如 此 循环 。 这 种 方案 的 加 密 速率 是 单个 实现 方式 的 两 倍 。 
当然 ,也 可 以 同时 运行 多 个 分 组 密码 引擎 ,这 也 会 使 加 密 速率 按 比例 增加 。 对 吞吐 率 要 求 
严格 的 应 用 ,并 行 化 的 加 密 模 式 非常 合适 。CTR 模式 被 广泛 用 于 ATM 网 络 安全 和 
IPSec 应 用 中 。 


习题 3 





1. 分 别 画 出 及 说 明 流 密码 流程 和 分 组 密码 流程 。 

2. 三 级 线性 反馈 移 位 寄存 器 在 c: =1 时 可 有 4 种 线性 反馈 函数 , 设 其 初始 状态 为 
(aa owas) 二 (1,0,1), 求 各 线性 反馈 函数 的 输出 序列 及 周期 。 

3. 设 n 级 线性 反馈 移 位 寄存 器 的 特征 多 项 式 为 p (x), 初始 状态 为 (a1 as，… a-1， 
aq) 二 (1,0,1) ,证 明 输出 序列 的 周期 等 于 p(x) 的 阶 。 

4. 设 n==4,f(aisaz ;a3 ;44) 二 qa 电 azas ,初始 状态 为 (al ,as ,as,as) 二 (1,1,0,1), 求 
此 非 线性 反馈 移 位 寄存 器 的 输出 序列 及 周期 。 
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5. 已 知 流 密码 的 密 文 串 1010110110 和 相应 的 明文 串 0100 010001, 而 且 已 知 密 钥 流 
是 使 用 三 级 线性 反馈 移 位 寄存 器 产生 的 , 试 破译 该 密码 系统 。 
6. 给 定 密 钥 &= 王 (0111111101) ,按照 S-DES 密码 处 理 过 程 以 手工 方式 对 明文 字 节 
(01000001) 进 行 加 密 和 人 解密。 要 求 写 出 每 个 函数 处 理 后 的 中 间 结 果 。 
7. 说 明 DES 中 每 个 子 密 钥 的 第 一 个 24 位 来 自 初始 密 钥 的 同一 个 28 位 子 集 ,而 其 
后 的 第 二 个 24 位 来 自 初始 密 钥 的 不 相交 的 28 位 子 集 。 
8. 画 出 DES 解密 算法 的 流程 图 (注意 : 输入 是 密 文 ,输出 是 明文 )。 
9. 在 IDEA 算法 中 ,已 知 明文 M 和 密 钥 k 分 别 为 : 
M = 10101010 11100110 01010101 00001111 11001100 00110011 10011001 01100110 
k = 00000000 11111111 00000000 11111111 11111111 00001111 11110000 11111111 
00001111 11110000 11111111 00000000 00001111 11111111 11110000 00001111 
求 第 一 轮 的 输出 和 第 二 轮 的 输入 。 
10. 为 什么 IDEA 算法 中 的 乘法 操作 是 模 (2 十 1) ,而 不 是 简单 的 模 25? 
11. 以 F5 为 例 说 明 S 盒 的 替代 操作 。 不 通过 查 表 , 而 通过 代数 运算 。 
12. 在 8 比特 CFB 模式 中 ,如 果 在 密 文字 符 中 出 现 1 比特 的 错误 ,那么 该 错误 能 传播 
多 远 ? 
13. 比较 CBC 模式 和 CFB 模式 的 异同 。 
14. 请 设计 一 种 一 次 加 密 一 个 明文 字 节 (例如 加 密 来 自 远程 的 击 键 ) 的 OFB 模式 方 
案 。 使 用 的 分 组 密码 为 AES, 对 每 个 新 的 明文 字 节 都 执行 一 个 分 组 密码 操作 。 请 绘 出 你 
的 方案 框图 ,请 特别 留意 你 给 出 的 框图 中 使 用 的 位 长 度 。 
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随 着 信息 保密 性 要 求 的 日 益 提高 , 公 负 密码 算法 体现 出 了 对 称 密 钥 加 密 算法 不 可 替 
代 的 优越 性 , 它 在 信息 安全 领域 发 挥 出 越 来 越 重要 的 作用 。 本 章 首先 介绍 公 钥 密码 中 使 
用 到 的 数学 理论 知识 ,如 数论 和 信息 论 等 ,然后 详细 介绍 RSA 和 杭 圆 曲线 密码 等 两 种 公 
钥 密 码 技术 。 


4.1 信息 论 与 数学 基础 





41.1 信息 论 


信息 论 是 关于 信息 的 本 质 和 传输 规律 的 科学 理论 ,是 研究 信息 的 度量 、 发 送 \ 传 递交 
换 、 接 收 和 存储 的 一 门 科学 。 它 不 仅 是 现代 信息 科学 大 厦 的 一 块 重要 基石 ,而 且 还 广泛 地 
渗透 到 生物 学 、 医 学 \ 管 理学, 经济 学 等 其 他 各 个 领域 ,对 社会 科学 和 自然 科学 的 发 展 都 有 
深远 的 影响 。 


1 信息 论 基础 
信息 论 也 称 香农 信息 论 或 狭义 信息 论 , 主 要 研究 信息 的 测度 、 信 道 容量 、 信 息 率 失真 
函数 ,与 这 三 个 概念 相对 应 的 香农 定理 以 及 信 源 和 信道 编码 。 


2 一 般 信息 论 

一 般 信息 论 主要 是 研究 信息 传输 和 处 理 问 题 。 除 了 香农 基本 理论 之 外 ,还 包括 噪声 
理论 .信号 滤波 和 预测 .统计 检测 与 估计 理论 .调制 理论 。 后 一 部 分 内 容 以 美国 科学 家 维 
纳 为 代表 。 虽 然 维 纳 和 香农 等 人 都 是 运用 概率 和 统计 数学 的 方法 研究 准确 或 近似 地 再 现 
消息 的 问题 ,都 是 通信 系统 的 最 优化 问题 ,但 他 们 的 研究 有 一 个 重要 的 区 别 。 维 纳 研究 的 
重点 是 在 接收 端 ,研究 消息 在 传输 过 程 中 受到 干扰 时 ,在 接收 端 如 何 把 消息 从 干扰 中 提取 
出 来 。 在 此 基础 上 ,建立 了 最 佳 过 滤 理 论 ( 维 纳 滤波 器 )、 统 计 检测 与 估计 理论 .噪声 理论 
等 。 香 农 研究 的 对 象 是 从 信 源 到 信 宿 的 全 过 程 , 是 收 、 发 端 联合 最 优化 问题 ,重点 是 编码 。 
香农 定理 指出 : 只 要 在 传输 前 后 对 消息 进行 适当 的 编码 和 译 码 ,就 能 保证 在 有 干扰 的 情 
况 下 ,最 佳 地 传送 消息 ,并 准确 或 近似 地 再 现 消息 。 为 此 ,发 展 了 信息 测度 理论 、 信 道 容量 
理论 和 编码 理论 等 。 


3 广义 信息 论 
广义 信息 论 是 一 门 综合 性 的 新 兴学 科 ,至 今 并 没有 严格 的 定义 。 概 括 地 说 ,凡是 能 够 
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用 广义 通信 系统 模型 描述 的 过 程 或 系统 ,都 能 用 信息 基本 理论 来 研究 。 广 义 信息 论 不 仅 
包括 一 般 信 息 论 的 所 有 研究 内 容 , 还 包括 医学 生物 学 ,心理 学 .遗传 学 ,神经 生理 学 .语言 
学 、 语 义学 ,甚至 社会 学 和 经 济 管理 中 有 关 信 息 的 问题 。 反 过 来 ,所 有 研究 信息 的 识别 , 控 
制 . 提 取 、 变 换 \ 传 输 、 处 理 , 存 储 、 显 示 、 价 值 . 作 用 以 及 信息 量 的 大 小 的 一 般 规律 以 及 实现 
这 些 原理 的 技术 手段 的 工程 学 科 , 也 都 属于 广义 信息 论 的 范畴 。 

总 之 ,人 们 研究 信息 论 的 目的 是 高 效 、 可 靠 、 安 全 并 且 随 心 所 欲 地 交换 和 利用 各 种 各 
样 的 信息 。 


412 数学 基础 


1 模 运 算 

对 任意 整数 a 和 任意 正 整 数 , 存 在 唯一 的 整数 g 和 ,满足 0 二 rn, 并 且 4=gqn 十 x, 值 
4 一 |a/z | 称 为 除法 的 商 , 其 中 |z | 表示 小 于 或 等 于 z 的 最 大 整数 。 值 二 a mod n 称 为 
除法 的 余数 。 因 此 ,对 于 任 一 整数 ,可 表示 为 : 

a 二 [a/nj*n 十 (a modn) 或 者 amodn==a 一 |a/nj*n 

如 果 (a mod n) 二 (5 mod n), 则 称 整数 a 和 65 模 n 同 余 , 记 作 4 三 5 mod n。 如 果 余 数 
不 相同 , 则 称 < 对 模 不 同 余 , 记 作 和 2 mod n。 

模 运 算 具 有 以 下 性 质 : 

O@ 车 nlab,; 则 a 三 b mod n。 

@ (a mod n)= 二 (5 mod nn) ,等 价 于 a 三 b mod n。 

@ a 三 b mod nn, 等 价 于 b 二 a mod n。 

@ 车 a 三 b mod n 且 4 三 c mod n, 则 a 三 c mod n。 

很 多 公 钥 加 密 和 数字 签名 算法 需要 做 整数 模 n 的 运算 ,n 是 大 的 正 整 数 ,可 以 是 或 不 
是 素数 。 例 如 ,RSA、Rabin 和 ElGamal 需要 有 效 的 算法 去 执行 模 ”的 乘法 及 取 震 等 算术 
运算 ,对 这 些 算法 的 优化 可 以 有 效 地 提高 上 述 公 钥 密 码 的 效率 。 

定义 4-1 如 果 > 是 正 整 数 , 则 z mod m, 即 x 被 m 除 后 所 得 的 位 于 区 间 [0,m 一 1] 上 
的 剩余 , 称 为 > 对 应 于 模 m 的 模 剩余 。 


2 基 表 示 

一 个 正 整 数 可 以 用 很 多 方法 表示 ,最 常用 的 是 以 10 为 基 的 表示 法 。 例 如 ,a 二 123 是 
以 10 为 基 的 表示 ,意味 着 a 二 1X10? 十 2X10! 十 3X10"。 对 机 器 计算 而 言 ,以 2 为 基 , 即 
二 进 制 表 示 是 最 好 的 。 如 果 a 二 1111011 以 2 为 基 , 则 一 25 十 25 十 24 十 23 十 0 十 2 十 29 。 

性 质 4-1 如 果 5 三 2 是 一 个 整数 . 则 任何 正 整 数 a 可 以 唯一 表示 成 w 一 ab 十 
ai1p 十 … 十 ab 十 ao ,其 中 a; 整数 , 且 0 三 a; 二 6,0 志 i 二 n,a, 关 0。 

定义 4-2 将 正 整 数 a 表示 成 形 如 性 质 4-1 中 心 的 圭 的 倍数 之 和 , 称 为 w 的 基 4 表 
示 , 记 为 a 二 (avas-1…aiao), 整 数 a;(0 达 i 过 n) 称 为 数字 ,a, 称 为 最 高 阶 数字 ,ao 称 为 最 
低 阶 数字 。 如 果 56 二 10, 则 标准 写法 是 a= (awa,-1*…aiao)。 

算法 : 基 4 表示。 

输入 : 整数 a 和 20(a 三 0.0 三 2) 。 
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输出 : 基 5 表 示 a 王 (asas-1…aiao)s， 其 中 三 0, 且 如 果 n 宇 1,a, 关 0。 


©@ i<0,ra,g— | 二 | ,ai<x 一 gb( [x | 表示 不 大 于 之 的 最 大 整数 ) 。 


Q@ 当 q>0 时 ,执行 ii 十 1z<qq< 一 | 过 | 一 z 一 w。 


@ 返回 (ae …aiao)。 
性 质 4-2 如果 a=(o…aiao) 是 a 的 基 4 表示 ,& 是 一 个 正 整数 , 则 (Cure … 


kl 
uuo)# 是 a 的 基 54 表示 ,其 中 1=『n+D/R| 一 1,w == 了 anwbi,0<i<l 一 1, 且 w= 


7 一 大 < 
Dannb’, 

例 4-1 基 表 示 示 例 。a 二 123 的 基 2 表示 是 (1111011), ,通常 将 基 2 表示 的 数字 从 
右边 开始 成 对 组 合 ,很 容易 得 到 a 的 基 4 表示 : a 二 ((1)2(11)s (10)s(11)s)4 二 (1323),。 


3 素数 与 互 素 

素数 是 这 样 一 个 数 : 比 1 大 ,其 因子 只 有 1 和 它 本 身 , 没 有 其 他 数 可 以 整除 它 。2 是 
一 个 素数 ,其 他 素数 如 73、2521、2365、347、734、339 和 275%s 一 1 等 。 素 数 是 无 限 的 ,密码 
学 常用 大 的 素数 (512 比特 ,甚至 更 长 ) 。 

互 素 : 数 1 是 任意 一 对 数 与 4 的 公 因数 。 如 果 数 1 是 a 与 5 的 唯一 公 因数 , 则 称 w 
和 6 是 互 素 的 。 


4 欧 拉 函数 和 欧 拉 定理 

定义 4-3” 欧 拉 函 数 用 来 表示 在 1,2,…,n 一 1 中 与 互 素 的 元 素 的 个 数 , 记 作 p(n)， 
其 中 "全 1。 

欧 拉 定 理 ” 若 整数 a 入 互 素 , 则 a?” 三 1 mod n。 其 中 ,gp(n) 是 比 n 小 但 与 n 互 素 
的 正 整 数 个 数 。 

证 明 : 设 p(n) 一。 又 设 记 ,reo，… ,rs 是 小 于 n 并 与 n 互 素 的 数 , 且 由 于 a 是 与 n 互 
素 的 数 , 则 om ,ars，…,ars 也 入 n 互 素 且 两 两 不 同 。 车 ax; 三 ar; mod n, 则 根据 数论 定理 , 因 
a 和 nn 互 素 ,所 以 存在 a 满足 aa 三 1 mod nn; 所 以 aar; 三 aar; mod n, 即 三 r; mod n, 与 假设 蔬 
盾 , 所 以 atri rss, 衣 三 i yr or mod ,但 记 ,r;,… ,rh 和 nn 互 素 , 故 at 寺 1 mod n。 


5 中 国 剩余 定理 

中 国 剩余 定理 最 早 记 录 在 南北 朝 时 期 的 数学 著作 《孙子 算 经 ) 中 。 题 为 :“ 今 有 物 不 
知 其 数 , 三 三 数 之 剩 二 ,五 五 数 之 剩 三 ,七 七 数 之 剩 二 , 问 物 几何 ?” 

它 的 数学 表达 形式 为 : N 寺 2(mod 3) 三 3(mod 5) 三 2(mod 7) , 求 满足 条 件 的 最 小 正 
整数 。 其 解法 为 :“ 术 日 : 三 三 数 之 剩 二 , 置 一 百 四 十 ; 五 五 数 之 剩 三 , 置 六 十 三 ; 七 七 数 
之 剩 二 , 置 三 十 ; 并 之 ,得 二 百 二 十 三 ,以 二 百 一 十 减 之 即 得 。 凡 二 三 数 之 剩 一 , 则 置 七 
十 ; 五 五 数 之 剩 一 , 则 置 二 十 一 ,七 七 数 之 剩 一 , 则 置 十 五 ,一 百 六 以 上 ,以 一 百 五 减 之 即 
得 .” 解 为 : N 王 23。 但 是 由 于 问题 过 于 简单 ,结果 可 以 利用 穷 举 法 很 快 得 到 答案 ,也 没有 
相关 系统 性 的 解法 ,因此 始终 没有 得 到 更 广泛 的 应 用 。 直 到 南宋 的 秦 九 韶 在 其 著作 《 数 书 
九 章 》 中 所 提出 的 “大 衍 求 一 林 ”, 方 才 将 * 物 不 知 其 数 "问题 推广 到 一 次 同 余 问题 ,与 此 同 
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时 他 还 考虑 到 了 “ 收 数 “ 通 数 ”“ 元 数 ” 等 不 同 数 型 的 计算 问题 ,他 将 “ 收 数 ” 和 “ 通 数 ”通过 
一 定形 式 转化 成 “元 数 ”, 而 对 于 两 两 不 互 素 的 “元 数 ” 来 说 不 容易 依照 中 国 剩 余 定理 给 出 
结论 ,他 又 找 出 “元 数 基 ” 将 问题 回归 到 两 两 互 素数 的 形式 ,从 而 总 结 出 了 一 套 相 对 完善 的 
系统 性 解法 ,同时 也 真正 将 中 国 剩余 定理 变 得 更 完整 化 ,具体 化 、 系 统 化 。 

随后 ,在 1683 年 ,日 本 的 关 孝 和 所 著 的 《 括 要 算法 》 中 的 增 约 之 术 , 也 介绍 了 此 类 解 
法 。 其 解法 与 秦 九 韶 所 介绍 的 解法 有 很 多 类 似 之 处 。 其 实 早 在 1202 年 的 欧洲 就 已 经 有 
人 提出 同 余 数组 的 相关 问题 了 ,然而 其 论述 水 平 并 不 高 于 (孙子 算 经 》。 直 到 18 世纪 前 
叶 , 伟 大 的 数学 家 欧 拉 利用 轧 转 相 除 法 给 出 了 同 余 式 的 两 种 通 解 形式 , 拉 格 朗 日 将 既 约 分 
数 化 为 连 分 数 的 形式 同样 给 出 了 两 种 通 解 ,高 斯 在 欧 拉 算 法 与 拉 格 朗 日 算法 的 基础 上 也 
相继 给 出 了 同 余 式 解法 。 

由 于 古代 信息 媒介 的 缺乏 以 及 信息 传播 速度 的 缓慢 ,导致 东西 两 方 不 能 得 到 很 好 的 
沟通 与 交流 ,因此 “ 物 不 知 其 数 ”" 和 “大 衍 求 一 术 ” 等 数学 理论 未 能 博得 世界 的 关注 ,也 没有 
确定 的 名 称 。 直 到 公元 1852 年 其 被 英国 传教 士 伟 烈 亚 力 传人 欧洲 后 ,方才 引起 西方 学 者 
的 高 度 重视 。 随 后 被 证 实 * 大 衍 求 一 本 ?与 高 斯 所 提出 的 解法 一 致 。 由 于 “大 衍 求 一 本 ”的 
提出 比 高 斯 解法 早 ,因此 “大 衍 求 一 术 ” 在 世界 数学 史上 有 着 址 良 置 疑 的 崇高 地 位 。 而 解 
一 次 同 余数 组 的 定理 被 公认 为 “中 国 剩余 定理 ”。 

定理 4-1 wa ,ms，,…,m, 为 两 两 互 素 的 正 整 数 , 即 最 大 公约 数 gcd(m;,mj) 二 1,j 关 i。 
M= 二 mu ,7 ，…7r ,并 有 zi ,Xs，… ,x, 满足 下 列 同 余 方 程 组 : 

三 Xx mod mi 


工 三 zz mod zz 
Tz, mod m, 
则 此 方程 组 有 解 , 且 在 mod M 的 剩余 系 内 有 唯一 解 :z = Miy,Cmod MD ,其 中 M, 一 


My 一 MT (mod mi) (1<i<r)。 


例 4-2 中 国 剩余 定理 示例 。 求 满足 下 式 的 z: 


ZX 三 2 mod 3 


由 35y =1 mod 3, 得 yi 二 2; 
由 21yz 二 1 mod 5, 得 ys 一 1; 
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由 15y3 三 1 mod 7, 得 ys 二 1。 

故 z=(35X2X2 十 21X1X3 十 15X1X2) mod 105 一 233 mod 105 一 23。 

中 国 剩余 定理 在 密码 学 上 有 非常 重要 的 应 用 。 例 如 ,在 RSA 解密 时 ,利用 中 国 剩余 
定理 ,可 以 使 解密 速度 加 快 约 4 信 。 


6 欧 几 里 得 算法 

让 我 们 再 回 到 分 数 a/5。 若 a 二 5, 这 个 分 数 就 大 于 1, 我 们 经 常 把 它 分 为 一 个 整数 部 
分 和 一 个 小 于 1 的 真 分 数 。 

在 一 般 情形 下 ,我 们 利用 两 个 整数 a 宇 6 的 除法 来 做 到 这 一 点 : 可 以 写 为 一 0 十 r， 
0 委 r 委 0 一 1。 

为 了 指出 这 样 写 总 是 可 能 的 ,把 整数 0,1,2… 表 示 在 数 轴 上 。 数 a 被 表示 在 这 数 轴 
的 某 一 点 处 。 从 0 开始 ,依次 标 出 5,25,36 等 ,直到 这 样 的 gb, 使 得 gb 不 大 于 a ,而 
(g 十 1)6 大 于 a。 从 gb 到 a 的 距离 就 是 r+。 称 1 为 余数 ,g 为 商 。 这 个 商 g 经 常 出 现 ,因此 
有 必要 给 它 一 个 专门 的 符号 : 

人 加 


这 一 符号 表示 不 超过 a/b 的 最 大 整数 。 
例 4-3 欧 几 里 得 算法 示例 。 让 我 们 来 求 数 1970 与 1066 的 最 大 公约 数 gcd。 当 用 
一 个 数 去 除 男 一 个 数 , 并 像 上 面 一 样 继续 做 下 去 时 ,就 得 到 : 
1970 =1 X 1066 十 904 
1066 一 1 X 904 十 162 
904 一 5 X 162 十 94 
162 一 1X94 十 68 
94 =]1 X68+26 
68 =2 X 26 十 16 
26 = 二] X16 十 10 
16 =1X10+6 
10 =1X6+4 
6 一 1X4 十 2 
4 一 2X2 十 0 











因此 ,(1970,1066) 二 2。 
这 种 求 两 个 数 的 最 大 公约 数 的 方法 称 为 欧 几 里 得 算法 ,这 个 方法 特别 适用 于 机 器 计算 。 


4.2 公 钥 密码 的 基本 概念 .原理 





随 着 信息 经 济 时 代 计 算 机 联网 的 发 展 ,信息 安全 保密 问题 显得 越 来 越 重要 ,无 论 是 保 
密 通 信 还 是 电子 商务 发 展 , 都 迫切 需要 Internet 保证 网 上 信息 传输 的 安全 。 公 钥 密 码 对 
密码 学 的 贡献 在 于 它 使 用 了 一 对 密 钥 , 即 加 密 密 钥 与 解密 密 钥 ,使 得 保密 通信 的 无 密 钥 传 
输 得 以 实现 ,实现 了 除 加 /解密 功能 外 的 许多 功能 ,如 密 钥 分 配 、 签 名 .认证 等 。 
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421 公 钥 密码 产生 的 背景 


由 于 对 称 密码 体制 的 加 密 密 钥 与 解密 密 钥 相同 ,加 密 方 和 解密 方 具有 共同 的 约束 , 必 
须要 求 有 解密 密 钥 的 传输 ,因而 带 来 其 相应 的 缺陷 。 对 称 密码 体制 的 缺陷 主要 表现 在 以 
平 三 方面 ， 

OO 密 钥 管理 问题 。 由 于 在 网 络 通信 中 . 用 户 的 数量 n 可 能 非常 大 ,如 果 任 何 两 个 用 
户 之 间 都 需要 进行 密 钥 的 管理 , 则 个 用 户 需 要 管理 n(n 一 1)/2 个 密 钥 。 对 于 大 型 网 络 ， 
当 用 户 群 很 大 、 分 布 很 广 时 , 密 钥 的 分 配 和 保存 就 成 了 问题 ,因而 通信 的 效率 便 会 降低 。 

@ 密 钥 分 配 问题 。 在 对 称 密 钥 密码 体制 中 ,由 于 通信 双方 共享 秘密 密 钥 , 必 须 通 过 
一 个 安全 信道 来 传输 密 钥 ,而 这 种 安全 信道 无 法 从 根本 上 来 保证 。 引 用 Diffie 和 
Hellman 的 说 法 :“ 如 果 存 在 一 个 安全 信道 来 传输 密 钥 , 那 为 什么 不 直接 在 安全 信道 上 传 
输 明文 呢 ?” 

@ 没有 签名 功能 。 当 收 信 方 收 到 发 送 方 送 来 的 文件 时 ,无 法 证 明 消息 来 源 确实 为 发 
送 方 ,因而 不 能 提供 法 律 取证 功能 。 

由 于 对 称 密码 体制 存在 着 以 上 的 缺点 , 随 着 信息 保密 程度 的 提高 ,对 一 种 新 的 更 有 效 
的 密码 体制 需求 更 为 迫切 。1976 年 ,美国 斯 坦 福 大 学 学 者 Diffie 和 Hellman 发 表 了 著名 
论文 4 密码 学 的 新 方向 》, 提 出 了 建立 “公开 密 钥 密码 体制 ", 引 起 密码 学 史上 的 又 一 次 革 
命 。Ralph Merkle 也 独立 地 提出 了 公开 密 钥 密 码 体制 的 概念 。 这 种 新 的 公 钥 密码 体制 ， 
解决 了 对 称 密码 体制 的 密 钥 分 发 问题 ,使 保密 通信 的 无 密 钥 传输 成 为 可 能 。1978 年 , 美 
国 麻 省 理工 学 院 (MIT) 的 李维斯 特 (Rivest) 、 沙 米尔 (Shamir) 、 艾 德 曼 (Adleman) 提 出 了 
一 种 基于 公 钥 密码 体制 的 优秀 加 密 算法 一 一 RSA 算法 。RSA 算法 的 保密 强度 建立 在 具 
有 大 素数 因子 的 合 数 , 其 因子 分 解 是 困难 的 这 一 基础 上 。1985 年 由 ElGamal 提出 了 基于 
离散 对 数 的 困难 性 之 上 的 EIGamal 密码 。 紧 接着 ,1985 年 ,Neal Koblitz 和 V. S. Miller 
分 别 独立 地 提出 了 椭圆 曲线 密码 体制 ECC。Luc 算法 .背包 密码 .McEliece 密码 、Rabin、 
零 知识 证 明 算 法 ,以 及 中 国 密码 学 家 陶 仁 怠 发 明 的 有 限 自动 机 密码 系统 等 ,这 些 都 是 公 
密码 体制 的 代表 密码 算法 。 

对 称 密码 体制 与 公开 密 钥 密 码 体 制 的 混合 密码 系统 也 是 一 种 比较 好 的 加 密 方 法 ,其 
使 用 对 称 算法 加 密 信息 ,使 用 公开 密 钥 算法 加 密 密 钥 。 


422 公 钥 密码 的 基本 原理 


在 公 钥 密码 体制 ( 公 钥 体制 ) 中 ,加 密 和 解密 是 相对 独立 的 ,加 密 和 解密 使 用 两 个 不 同 
的 密 钥 ,加 密 密 钥 (公开 密 钥 ) 公 开 ,解密 密 钥 (秘密 密 钥 ) 只 有 解密 人 自己 知道 ,是 保密 的 ， 
而 且 非 法 使 用 者 由 加 密 密 钥 无 法 推导 出 解密 密 钥 。 

公开 密 钥 密码 的 基本 思想 : 

@ 将 密 钥 分 为 两 个 : 上 和 ks,k。 用 于 加 密 、ks 用 于 解密 , 且 k, 隆 ks。 

@ 由 .不 能 计算 出 &a, 所 以 可 将 k. 公开 ,使 密 钥 分 配 更 加 简单 。 

@ 由 于 k. 关 ka 且 由 k。 不 能 计算 出 ks, 所 以 ka 可 以 作为 用 户 的 指纹 ,可 方便 地 实现 
数字 签名 。 

ak 
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也 就 是 说 ,由 于 公 钥 密码 有 一 对 不 同 的 密 钥 ,不 仅 具 有 对 称 密码 体制 的 保密 功能 ,而 
且 还 提供 了 认证 签名 等 功能 。 因 此 , 公 钥 密码 加 密 机 制 根据 不 同 的 用 途 有 两 种 基本 的 
模型 。 

(1) 加 密 模 型 

加 密 模型 利用 收 方 公 钥 加 密 消息 ,再 利用 收 方 私 钥 解 密 密 文 。 

图 4-1 是 公 钥 体制 的 基本 模型 ,其 中 巨 表示 加 密 函 数 ,D 表示 解密 函数 。 公 钥 体 制 
保密 模型 与 对 称 密码 体制 模型 的 最 大 的 区 别 是 对 密 钥 的 管理 。 在 公 钥 体制 中 , 公 钥 只 需 
在 公开 信道 上 传输 ,能 保证 其 真实 性 即 可 ; 而 在 对 称 密 钥 体制 中 , 密 钥 必须 在 安全 信道 上 
传输 。 








> 
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信 源 以 k 加 密 M | 公开 信道 | 以 k 鲁 密 C | 
M C=Ei(M) MDHAO) 


大 密码 攻击 者 | 
随机 密 钥 源 


公开 密 钥 信道 
4-1 公 钥 体制 加 密 模 型 


Q@ 由 信 宿 端 (接收 方 ) 产 生 一 对 加 密 密 钥 (k.) 和 解密 密 钥 (ks ) 。 

@ 将 k. 公开 ,ks 保密 。 

@ 信 源 方 (发 送 方 ) 发 送 明 文 M, 先 用 k. 对 M 进行 加 密 得 密 文 C, 即 C= Ei (M)。 
@ 信和 宿 方 (接收 方 ) 收 到 密 文 C 后 ,以 自己 的 解密 密 钥 ks 对 密 文 C 进行 解密 , 即 




























































































M= D(C) 
只 有 接收 方 有 解密 密 钥 ka ,因而 只 有 接收 方 可 以 正常 解密 ,保证 了 信息 的 秘密 性 。 
(2) 认证 模型 
认证 模型 利用 发 方 私 钥 加 密 消息 ,接收 方 利用 发 方 公 钥 进 行 解密 ,如 图 4-2 所 示 。 
信 源 | | 解密 | 加 密 5 | 公开 信道 | 解密 C HH 
M S=DisMW| | c=E Ce S-Di O) MEEi(S) M 
f 
密码 攻击 者 |[ 随 机密 铀 源 
dA ke 
随机 密 钥 源 
图 4-2 公 钥 体制 签名 认证 模型 
认证 过 程 : 


Q@ 首先 ,发 送 方 A 采用 自己 的 私 钥 (kna ) 对 消息 M 解密 (签名 ) 后 ,得 到 S。 
加 用 接收 方 B 的 公 钥 (cs) 加密 S 后 得 到 密 文 C, 在 公开 信道 (如 互联 网 ) 上 传输 。 
@ 接收 方 B 收 到 后 ,利用 自己 的 私 钥 (kas ) 对 密 文 C 进行 解密 后 ,还 原 了 S。 
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@ 利用 A 的 公 钥 对 S 进行 加 密 操作 ,还 原 后 ,如 果 得 到 M, 则 认证 成 功 , 否 则 失败 。 

在 这 个 认证 模型 中 , 既 能 保密 又 能 验证 通信 双方 的 身份 。 只 有 A 有 自己 的 私 钥 , 因 
而 B 可 能 验证 消息 的 来 源 确实 是 A,A 不 能 否认 ; 而 只 有 B 有 自己 的 私 钥 , 因 而 只 有 B 能 
对 密 文 C 进行 解密 ,能 得 到 S, 因 而 可 以 保密 。 


A RSA 公 钥 密码 算法 





RSA 是 Rivest、Shamir 和 Adleman 于 1978 年 在 美国 麻 省 理工 学 院 提出 来 的 , 它 是 
一 种 比较 典型 的 公开 密 钥 加 密 算 法 ,其 安全 性 建立 在 “大 数 分 解 和 素性 检测 ”这 一 已 知 的 
著名 数论 难题 的 基础 上 ,即将 两 个 大 素数 相 乘 在 计算 机 中 容易 实现 ,但 将 该 乘积 分 解 为 两 
个 大 素数 因子 的 计算 量 是 相当 巨大 的 ,以 至 于 实际 计算 中 是 不 能 实现 的 。 


431 RSA 算 法 描述 


1 密 钥 的 产生 

OO 选 两 个 保密 的 大 素数 p 和 9g。 

@ 计 算 n=pq,p()==(p 一 1)(g 一 1), 其 中 yg(w) 是 欧 拉 函数 。 
@ 选择 一 个 正 数 e, 使 其 满足 gcd(e,p(z)) 一 1,p(z) 二 1。 

@ 求 出 正 数 d ,使 其 满足 ed 三 1 mod p(n) ,p(n) 记 1。 

@ 将 k= 二 (ns,e) 作 为 公 钥 ,将 ,二 (d,p,q) 作 为 私 钥 。 


2 加 密 
加 密 时 首先 将 明文 转化 为 比特 串 分 组 ,使 得 每 个 分 组 对 应 的 十 进 制 数 小 于 n, 即 分 组 
长 度 小 于 logsn, 然 后 对 每 个 明文 分 组 M, 作 加 密 运算 ， 
= E,, CM) 一 Me modn 


3 解密 
将 密 文 C 作 变 换 , 使 M 二 D(C) 二 Cmod n, 从 而 得 到 明文 M。 
下 面 证 明 RSA 算法 中 解密 过 程 的 正确 性 。 
分 析 : 为 了 证 明 xz“ 硅 x modn, 只 要 证 明 n 是 zx“ 一 z 的 因数 即 可 。 又 因为 n= 二 pq, 而 
p,q 都 是 素数 , 故 只 要 证 明 p 和 g 都 是 zx“ 一 z 的 因数 即 可 , 即 : 
zx” 三 T modp (1) 
zx" 三 7 modg (2) 
证 明 : 证 明 式 (1), 若 p 是 zx 的 因数 则 式 (1) 必 然 成 立 。 
若 户 不 是 zx 的 因数 , 则 由 
ed=1 mod $(n) 
得 
PD NG 
其 中 ,为 任意 整数 。 则 


ed 一 一 kk(p—1)(g—1)+1— -lyMe-d 
=7rt De =7r(xt 1) 


工 X(T 
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根据 费 马 小 定理 因为 xz 与 p 互 素 ,所 以 


WY od ps 
故 
ze = 1 mod p=zx mod p 

同 理 可 证 x“ 夺 x mod g。 

例 4-4 RSA 算法 示例 。 给 定 两 个 素数 一 13,q 一 17: 

@ 为 用 户 A 和 B 设 计 公 钥 和 私 钥 。 

@ 用 户 A 将 明文 z=3 加 密 。 

@ 用 户 A 将 明文 + 二 3 加 密 并 签名 后 发 给 B,B 解密 并 验证 签名 , 试 把 加 密 通 信 过 程 
详细 写 出 。 


解 : 

QO@ 计算 得 n=pg==13X17=221,$(n)=(p 一 1)(g 一 1)==12X16==192。 

随机 选取 与 $(n) 二 192 互 素 的 两 个 数 e 二 7 和 es 二 13, 并 建立 同 余 方 程 : 

7z 三 1 mod 192 
13z 三 1 mod 192 

由 于 7 和 192、13 和 192 都 互 素 ,7x 三 1 三 193 三 385 mod 192, 根 据 消 去 律 得 到 zx 一 
55, 即 di 一 55, 同 理 得 到 d 王 133。 

将 密 钥 (7,55) 和 (13,133) 交 给 A 和 B 两 个 人 。 将 n.ei\es 公开 ,di .ds 交 给 A 和 B 
各 自 秘密 保管 。$(n) 二 192 由 密 钥 制 作者 保管 。 

@ A 在 公 钥 簿 上 查询 到 B 的 公 钥 es 二 13, 得 到 加 密 函 数 .: 

E,(x) 一 zl mod 221 
对 信息 x 二 3 进行 加 密 得 到 密 文 > 一 38 mod 221 ,因为 
3: 三 9 mod 221 
3 三 9X9=81 mod 221 
s = 81 X 81 = 6561 = 152 mod 221 

所 以 ,3* 寺 3s+4+1 二 152 X81 X3 二 29 mod 221。 

A 将 密 文 29 发 出 给 B。 

B 使 用 自己 的 私 钥 133 进行 解密 z= 二 D,(y) 三 y'” 三 29” mod 221。 用 上 述 方法 计算 
得 29: 志 81 mod 221、29'% 志 35 mod 221, 所 以 ,293 寺 291%14+1 二 35 X81 X29 三 3 mod 221。 

B 得 到 明文 3。 

@ A 使 用 自己 的 私 钥 55 和 解密 函数 对 信息 z= 二 3 进行 签名 得 y= 二 3” mod 221。A 
再 从 公 钥 簿 上 查询 B 的 公 钥 为 13 和 B 的 加 密 函 数 ,对 > 进行 加 密 < 三 y* mod 221 三 
35x1 mod 221 三 3” mod 221。 

计算 得 一 211。 

B 得 到 密 文 后 , 先 查 到 A 的 公 钥 7, 用 7 解密 密 文 -二 211, 得 到 >。 再 使 用 自己 的 私 
钥 对 y 进行 验证 得 到 信息 x 二 3。 


432 ”RSA 算法 中 的 计算 问题 


1. RSA 的 加 密 与 解密 过 程 
RSA 的 加 解密 过 程 都 为 求 一 个 整数 的 整数 次 竹 , 再 取 模 。 如 果 按 其 定义 直接 计算 , 则 
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中 间 结 果 非 常 大 ,有 可 能 超出 计算 机 所 允许 的 整数 取 值 范围 。 例 如 , 求 66”mod 119, 先 求 
66”" 再 取 模 , 则 中 间 结 果 就 已 远 远 超出 了 计算 机 允许 的 整数 取 值 范围 。 而 用 模 运算 的 性 质 : 
(aXb) modn=[(amodn)X(b modn)|] modn 

就 可 减 小 中 间 结 果 。 

再 者 ,考虑 如 何 提 高 加 解密 运算 中 指数 运算 的 有 效 性 。 例 如 , 求 zx ,直接 计算 的 话 需 
要 做 15 次 乘法 。 然 而 如 果 重 复 对 每 个 部 分 结果 做 平方 运算 , 即 求 z,z? ,zx ,zx ,zx* 则 只 需 
4 次 乘法 。 

求 e 可 按 如 下 进行 ,其 中 a、m 是 正 整数 。 将 m 表示 为 二 进 制 形式 5.5;-1…bo , 即 

m 二 bi2* 十 bri2%! 十 … 十 b12 十 bo 


因此 
a™ = ah) a )? a ) ea )? a 
例如 ,19==1X2: 十 0X23 十 0X2? 十 1X2! 十 1X2 ,所 以 
a = Cla Ita) a mma!) a 
从 而 可 得 以 下 快速 指数 算法 。 


例 4-5 RSA 指数 快速 运算 示例 。 求 7 mod 561。 
解 : 将 560 表示 为 1000110000, 算 法 的 中 间 结 果 如 下 : 











i 9 8 ” 6 5 4 3 2 0 
bi 1 0 0 0 1 L 0 0 0 0 
他 0 1 2 4 8 17 35 70 140 280 560 
d i 7 49 157 526 160 241 298 166 67 1 



































所 以 7 mod 561 一 1 。 


2 RSA 密 钥 的 产生 

产生 密 钥 时 ,需要 考虑 两 个 大 素数 pg 的 选取 ,以 及 e 的 选取 和 d 的 计算 。 

因为 "一 pg 在 体制 中 是 公开 的 ,因此 为 了 防止 敌手 通过 穷 举 搜索 发 现 pg, 这 两 个 素 
数 应 是 在 一 个 足够 大 的 整数 集合 中 选取 的 大 数 。 如 果 选 取 p 和 g 为 10” 左 右 的 大 素数 ， 
那么 的 阶 为 10? ,每 个 明文 分 组 可 以 含有 664 位 (1022254 ), 即 83 个 8 比特 ,这 比 
DES 的 数据 分 组 (8 个 8 比特 ) 大 得 多 ,这 时 就 能 看 出 RSA 算法 的 优越 性 了 。 因 此 如 何 有 
效 地 寻找 大 素数 是 第 一 个 需要 解决 的 问题 。 

寻找 大 素数 时 一 般 先 随机 选取 一 个 大 的 奇数 (例如 用 伪 随 机 数 产生 器 ) ,然后 用 素数 
检验 算法 检验 这 一 奇数 是 否 为 素数 ,如 果 不 是 则 选取 另 一 大 奇数 ,重复 这 一 过 程 , 直 到 找 
到 素数 为 止 。 可 见 寻找 大 素数 是 一 个 比较 烦琐 的 工作 。 然 而 在 RSA 体制 中 ,只 有 在 产生 
新 密 钥 时 才 需 执行 这 一 工作 。 

pp 和 g 确定 后 ,下 一 个 需要 解决 的 问题 是 如 何 选取 满足 1 二 e<%(z) 和 gcd(%(z) ,e) 一 1 
的 e, 并 计算 满足 ed 三 1 mod $(n) 的 d。 这 一 问题 可 由 推广 的 Euclid 算法 完 


433 一 种 改进 的 RA 实现 方法 


利用 中 国 剩余 定理 ,可 极 大 地 提高 解密 运算 的 速度 。 
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由 解密 方法 计算 : 
d, 三 d mod (p—1), dd, 三 d mod (g—1) 
ms = mod p, ma 二 cd modg 

由 中 国 剩 余 定理 解 : 











my» 三 cd mod pp 三 cd mod pm modp 








m cd modg 二 co modg 三 7 modg 





即 得 x。 

已 证 明 , 如 果 不 考虑 中 国 剩余 定理 的 计算 代价 , 则 改进 后 的 解密 算法 运算 速度 是 原 解 
密 算 法 速度 的 4 倍 。 若 考虑 中 国 剩余 定理 的 计算 代价 , 则 改进 后 的 解密 运算 速度 分 别 是 
原 解密 运算 速度 的 3. 34 倍 ( 模 为 768 比特 时 )、3. 32 倍 ( 模 为 1024 比特 时 ) 和 3. 47 倍 ( 模 
为 2048 比特 时 ) 。 


434 RSA 的 安全 性 


RSA 的 安全 性 是 基于 分 解 大 整数 的 困难 性 假定 ,之 所 以 为 假定 是 因为 至 今 还 未 能 证 
明 分 解 大 整数 就 是 NP 问题 ,也 许 有 尚未 发 现 的 多 项 式 时 间 分 解 算法 。 如 果 RSA 的 模 数 
n 被 成 功 地 分 解 为 p Xgq, 则 立即 获得 $(n) 二 (p 一 1)(g 一 1) ,从 而 能 够 确定 e 模 $(n) 的 乘 
法 逆 元 d, 即 4 三 e*!' mod $8(n), 因 此 破解 成 功 。 

随 着 人 类 计算 能 力 的 不 断 提 高 ,原来 被 认为 是 不 可 能 分 解 的 大 数 已 被 成 功 分 解 。 例 
如 ,RSA-129( 即 为 129 位 十 进 制 数 ,大 约 428 个 比特 ) 已 在 网 络 上 通过 分 布 式 计算 历时 
8 个 月 于 1994 年 4 月 被 成 功 分 解 ; RSA-130 已 于 1996 年 4 月 被 成 功 分 解 ; RSA-140 已 
于 1999 年 2 月 被 成 功 分 解 ; RSA-155(512 比特 ) 已 于 1999 年 8 月 被 成 功 分 解 , 得 到 了 两 
个 78 位 (十 进 制 ) 的 素数 。 

对 于 分 解 大 整数 的 威胁 除了 人 类 的 计算 能 力 外 ,还 来 自分 解 算法 的 进一步 改进 。 分 
解 算法 过 去 都 采用 二 次 筛 法 ,如 对 RSA-129 的 分 解 。 而 对 RSA-130 的 分 解 则 采用 了 一 
个 新 算法 , 称 为 推广 的 数 域 筛 法 ,该 算法 在 分 解 RSA-130 时 所 做 的 计算 仅 比分 解 RSA- 
129 多 10% 。 将 来 也 可 能 还 有 更 好 的 分 解 算法 ,因此 在 使 用 RSA 算法 时 对 其 密 钥 的 选取 
要 特别 注意 其 大 小 。 估 计 在 未 来 一 段 比较 长 的 时 期 , 密 钥 长 度 介 于 1024 比特 至 2048 比 
特 的 RSA 是 安全 的 。 


435 对 RSA 的 攻击 


RSA 存在 以 下 两 种 攻击 : 共 模 攻击 和 低 指 数 攻 击 。 这 并 不 是 因为 算法 本 身 存 在 缺 
陷 , 而 是 由 于 参数 选择 不 当 造 成 的 。 


1 共 模 攻击 

在 实现 RSA 时 ,为 方便 起 见 , 可 能 给 每 一 用 户 相同 的 模 数 nn, 虽然 加 解密 密 钥 不 同 ， 
然而 这 样 做 是 不 行 的 。 

设 两 个 用 户 的 公开 钥 分 别 是 e 和 es, 且 e 和 es 互 素 ( 一 般 情 况 都 成 立 ) ,明文 消息 是 
mm, 密 文 分 别 是 : 
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cl 三 7 mod 7 
cs 三 m®? modn 
敌手 截获 c 和 cs 后 ,可 按 如 下 恢复 mx。 用 推广 的 Euclid 算法 求 出 满足 
im 十 s2 一 1 
的 两 个 整数 + 和; ,其 中 一 个 为 负 , 设 为 ~。 再 次 用 推广 的 Euclid 算法 求 出 cr ,由 此 得 
(cc 三 7 modn, 
2 低 指数 攻击 
假定 将 RSA 算法 同时 用 于 多 个 用 户 (为 讨论 方便 ,以 下 假定 3 个 ), 然 而 每 个 用 户 的 
加 密 指数 ( 即 公开 钥 ) 都 很 小 。 设 3 个 用 户 的 模 数 分 别 为 ni (i 二 1,2,3), 当 ij 时 ， 
gcd(G2a 7) 一 1 ,否则 通过 gcd(n;,n;) 有 可 能 得 出 n; 和 nn; 的 分 解 。 设 明文 消息 是 m, 密 文 
分 别 是 
cl 三 7 modm 
ca =m’ mod ns 
cs 三 723 mod ns 
由 中 国 剩余 定理 可 求 出 ze mod mnzns。 由 于 过 mnzns ,因此 可 直接 由 mw? 开 立 方 
根 得 到 mm。 


44 ”椭圆 曲线 密码 





441 椭圆 曲线 


椭圆 曲线 密码 (ECC) 是 公 钥 密码 算法 的 一 种 。 它 的 数学 基础 是 椭圆 曲线 上 的 离散 对 
数 问题 。 在 椭圆 曲线 密码 算法 中 ,需要 的 是 某 种 特殊 形式 的 顶 圆 曲线 , 即 定 义 在 有 限 域 
F, 上 的 椭圆 曲线 ( 记 为 已 CF, ) ,为 素数 或 素数 的 寡 次 )。 当 为 素数 时 ,需要 研究 的 是 
形 如 y’ 志 x 十 az 十 b(mod p) 的 椭圆 曲线 ,其 中 a 和 6 是 下 上 的 元 ,满足 4a’ 十 274b? (mod 
思 ) 关 0。 记 无 穷 远 点 为 O。 则 可 定义 椭圆 曲线 上 点 的 加 法 如 下 。 

@ 对 E(F,) 中 所 有 的 点 P,P 十 0 二 O 十 P。 

@ 若 P=(z,y)EE(CPF,), 则 (z,y) 十 (z, 一 y) 一 0, 其 中 点 (z, 一 y) 记 为 一 已 ,一 已 也 
是 椭圆 曲线 上 的 点 。 

QQ P.Q 是 椭圆 曲线 上 的 点 , 设 P=(zxi,x)EE(F,),Q= (zx,,y)EE(F,),P 一 Q, 则 
P 十 Q 二 (zx; ,ys), 这 里 有 : 





za 一 (2 一 Zi 一 zz) modp 


ys 一 [LACzl 一 za) 一 ] modp 


其 中 
涯 一 六，P 关 Q 
Xs—T 
dS 2 
3Z1 ta, ye 
2y1 
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定义 椭圆 曲线 上 点 的 乘法 (点 乘 ) 如 下 : 
nP 一 已 十 P 十 … 十 P ( 共 n 个 P 相 加 ,n 为 自然 数 ) 

通过 定义 于 椭圆 曲线 上 点 的 “加 法 ”,E(F,) 上 的 所 有 点 形成 一 个 循环 群 , 该 循环 群 上 
的 离散 对 数 问题 (DLP) 即 椭圆 曲线 离散 对 数 问 题 (ECDLP)。 目 前 存在 解决 DLP 的 亚 指 
数 算法 和 已 知 解决 ECDLP 的 算法 均 为 指数 级 算法 ,因此 E(F，) 具 有 更 高 的 安全 性 ,在 密 
码 学 上 具有 重要 意义 。 

从 以 上 算法 介绍 可 以 看 出 ,椭圆 曲线 密码 算法 的 核心 模块 从 底层 往 上 应 该 依次 为 : 
模 乘 / 模 加 / 模 减 一 点 加 /点 倍 ~ 点 乘 。 基 于 椭圆 曲线 的 密码 算法 一 般 是 把 点 乘 作为 核心 
运算 构成 安全 机 制 , 如 签名 、 验 证 加密、 解密 、 密 钥 交 换 等 。 相 较 模 加 、 模 减 来 说 , 模 乘 算 
法 是 非常 耗 时 的 ,因此 模 乘 模块 的 快慢 决定 了 点 加 点 倍 的 快慢 ,从 而 决定 了 点 乘 和 加 密 机 
制 的 快慢 。 所 以 ,椭圆 曲线 SOC 芯片 需要 考虑 的 一 个 很 关键 的 问题 就 是 选取 哪 种 模 乘 算 
法 来 构成 基本 的 底层 模块 ,通过 软 硬 件 的 良好 划分 和 实现 来 使 得 芯片 的 效率 与 面积 都 符 
合 应 用 要 求 。 


442 椭圆 曲线 加 密 算法 


1 基于 椭圆 曲线 的 BGanal 公 钥 密码 算法 

椭圆 曲线 在 公 钥 密码 学 的 许多 分 支 中 都 有 广泛 的 应 用 ,一 个 有 代表 性 的 例子 就 是 下 
面 的 基于 椭圆 曲线 的 EIGamal 公 钥 密码 算法 。 

系统 参数 : 设 下 是 一 个 定义 在 Zv (2>3 的 素数 ) 上 的 椭圆 曲线 , 令 GEE, 则 由 G 生 
成 的 子 群 日 满足 其 上 的 离散 对 数 问题 是 难处 理 的 ,选取 a, 计算 8 二 aG, 则 : 

Q@ 私有 密 钥 : a。 

@ 公开 密 钥 : G、pB.p。 

@ 加 密 算 法 : 对 于 明文 <, 嵌入 到 曲线 上 得 到 点 z, 随 机 选取 正 整数 AE Z,-: ,有 : 

en (ZX,k) 一 (yiyyz) 

其 中 ,yi 二 kG ,ys 二 z+ 十 kB。 

@ 解密 算法 : di, (yx,y2) 二 ys 一 ay1。 


2 椭圆 曲线 DSA 

椭圆 曲线 DSA(ECDSA) 其 实 是 基于 椭圆 曲线 的 一 种 数字 签名 算法 ,本 应 该 放 在 本 
书 数字 签名 部 分 介绍 ,但 是 为 了 显示 椭圆 曲线 应 用 的 广泛 性 以 及 内 容 的 紧凑 性 ,此 处 提前 
介绍 如 何 利用 椭圆 曲线 来 设计 数字 签名 算法 。 

(1) ECC 密 钥 生成 

ECC 密 钥 生成 分 为 两 部 分 : 生成 有 效 的 域 参 数 和 生成 公私 钥 对 。 公 私 钥 对 与 特定 的 
椭圆 曲线 域 参 数 相关 联 ,关联 关系 通过 密码 学 方法 (如 证 书 ) 或 通过 上 下 文 (如 所 有 实体 使 
用 相同 的 域 参数 ?来 保证 。 

ECC 域 参数 记 为 D= (q,FR,o,0,P,2) ,主要 包括 : 有 限 域 F, ,定义 在 F 上 的 椭 
圆 曲 线 巨 ,一 个 阶 为 n 行 的 基点 PEE(F,)。 各 参数 含义 如 下 。 

Q@ F,: 有 限 域 ,其 元 素 个 数 为 g,g 二 p 或 g 二 2” ,大 素数 p 是 F, 的 特征 值 。 
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@ FR(Field Representation) : 有 限 域 fF, 中 元 素 的 表示 方法 ,如 多 项 式 基 表示 或 高 
斯 自然 基 表 示 。 

@ a.b: F, 上 的 两 个 域 元 素 , 用 于 构造 椭圆 曲线 玉 : y* 二 十 az 十 b(g 二 p), 或 十 
ZXy 王 十 az! 十 b(g 二 2"),E 上 有 理 点 的 个 数 #E(F,) 可 被 一 个 大 素数 行 整除 。 

@ P=(zp,yp) 是 E(F,) 中 的 一 个 点 ,P 的 阶 为 n。 

加 nn 是 一 个 素数 ,n2'!” 自 >>4Vq 。 

@h=E(F,)/n 称 为 余 因 子 ,h 还 小 于 n, 利 用 h 可 以 较 快 地 找到 满足 上 述 条 件 的 基 
点 PP: 随机 选取 P'EE(F,), 计 算 hP, 如 果 hP 取 0, 则 令 P=hP'。 

域 参数 D 公开 ,可 由 许多 用 户 公 用 ,在 此 基础 上 ,每 个 用 户 可 以 选择 自己 的 公私 钥 
对 : 选择 随机 数 4E[1,n 一 1], 计 算 Q 二 dP, 公 钥 为 (E,P,n,h), 私 钥 为 4。 从 用 户 的 公 
钥 求 其 私 钥 需 要 求解 ECDLP。 

(2) ECDSA 签名 的 生成 

@ 选择 随机 数 kE[1,n 一 1]。 

@ 计算 kP=(zi,y1) ,r= 二 zi modm, 若 一 0, 转 到 第 中 步 。 

@ 计算 人 :mod n; 

@ 计算 e=SHA 一 1(MD) (M 是 消息 )。 

@@ 计算 S=k7!1(e 二 dr) mod n, 车 S=0, 转 到 第 @ 步 。 

@ 消息 M 的 签名 是 (r,s)。 
其 中 ,SHA-1: {0,1) 习 {0,1)'” 是 美国 NIST 和 NSA 设计 的 一 种 安全 哈 希 算法 ,输入 消 
息 长 度 一 般 小 于 2*b。 

(3) ECDSA 签名 的 验证 

@ 验证 r,sE[1,n 一 1j]。 

@ 计算 e=SHA 一 1(M)。 

@ 计算 w=s ! mod >。 

@ 计 算 w=ew modn 和 ws 二 rw mod n。 

@ 计算 X=w PuQ, 若 X==0, 则 拒绝 签名 ,否则 计算 v==zxi mod n, 其 中 z= (zi ,yi)。 

@ 当 且 仅 当 v=r 时 接受 签名 。 

(4) ECDSA 的 安全 性 分 析 

对 ECDSA 的 攻击 可 以 分 为 针对 ECDLP 的 攻击 、 针 对 哈 希 函 数 的 攻击 、 针 对 执行 过 
程 的 攻击 (如 差分 功率 分 析 ) 等 。 选 择 消息 攻击 是 这 样 一 种 攻击 : 攻击 者 利用 实体 A 对 多 
个 消息 (不 包括 m) 的 签名 ,构造 出 对 消息 的 有 效 签名 。ECDSA 的 安全 目标 主要 是 能 防 
止 选择 消息 攻击 。 目 前 在 提高 ECDSA 安全 性 方面 已 取得 了 一 些 进 展 , 假 定 离散 对 数 难 
题 是 难 解 的 , 哈 希 函 数 是 随机 的 , 则 对 DSA 和 ECDSA 做 少量 的 改动 可 以 防止 选择 消息 
攻击 。 

Brown 证 明 ,如 果 ECDSA 基于 的 群 是 一 般 群 且 哈 希 函 数 是 无 碰撞 的 , 则 ECDSA 本 
身 是 安全 的 。 

(5) ECDSA 的 有 效 性 分 析 

Certicom 在 多 种 平台 下 测试 比较 了 Certicom ECC 和 RSA 的 性 能 ,测试 中 采用 了 多 
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种 性 能 增强 技术 ,结果 表明 ECC 密 钥 生成 、 签 名、 验证 以 及 Diffie-Hellman 密 钥 交换 的 速 
度 都 比 RSA 快 。 其 中 签名 比 RSA 快 很 多 倍 (20 一 300 倍 ) ,验证 速度 相当 。 对 ECC 本 身 
而 言 , 签 名 比 验 证 快 2 一 5 倍 , 如 果 在 计算 能 力 受 限 的 设备 上 执行 , 则 签名 时 间 和 验证 时 间 
的 绝对 值 之 差 更 大 。 

RSA 密码 算法 实际 上 只 依赖 一 种 数学 运算 , 即 指数 运算 ,指数 运算 的 性 质 决定 了 运 
算 的 速度 。 对 签名 和 解密 ,指数 ( 私 钥 ) 很 大 ,因此 计算 很 慢 ; 验证 和 加 密 速度 则 快 得 多 ， 
因为 指数 ( 公 钥 ) 可 以 非常 小 。ElGamal 系统 包括 DSA 和 ECDSA, 用 于 签名 和 加 /解密 的 
数学 运算 类 型 完全 不 同 ,签名 和 解密 的 速度 不 同 ,签名 验证 和 加 密 的 速度 不 同 。 基 本 上 ， 
签名 比 验证 快 ,解密 比 加 密 快 。 公 私 钥 操 作 速 度 之 间 的 差异 远 小 于 RSA ,尽管 ECC 的 公 
钥 操 作 比 RSA 稍 慢 , 但 ECC 公私 钥 操作 总 的 计算 时 间 远 少 于 RSA。 对 私 钥 操 作 ( 即 签 
名 和 解密 ) 而 言 ,ECC 比 RSA 快 许多 倍 , 因 此 ECC 更 适合 用 于 安全 设备 (如 智能 卡 、 计 算 
能 力 受 限 的 无 线 设备 ) 。 

例 4-6 椭圆 曲线 密码 示例 。 已 知 Fu 上 的 椭圆 曲线 : 

En(1,6):y: = zx’+z+6(mod 11) 

取 P=(2,7) 作 为 E11(1,6) 的 一 个 生成 元 。 

@ 设 用 户 B 的 密 钥 为 a 二 3, 求 B 的 公 钥 Q=3P。 

@ 设 用 户 A 欲 发 消息 mm 二 (10,9) 给 B, 选 择 随机 数 & 二 5, 求 密 文 c。 

@ 设 B 收 到 密 文 c<==((7,2),(3,6)), 试 求 明 文 。 

解 : 

OO Q=3P=2P+P.。 

首先 计算 2P=2(2,7)。 
3zi 十 wa 

2 














A mod 11 


3 EF! mod 11 Smod 11 ZXx4mod 11=8 
za 一 (2 一 2z) modll 一 (8 一 2X2) mod1l=5 
y% 一 [LACz 一 z) 一 %]modll 王 [8X(2 一 5) 一 ?7] mod11=2 

故 2P=(5,2)。 
再 计算 3P=2P 十 P=(5,2) 十 (2,7)。 


和 mod 11 (5X7) mod 11 =2 





A= 六 一》 mod 11 
立 2 一 并 1 是 一 


zs 一 (2 一 zi 一 zz) modll 一 (2 一 5 一 2) modll 一 8 
= 一 [Dr 一 z) 一 mm]modll=[2X(5 一 8) 一 2]modll 一 3 
即 Q=3P=(8,3)。 
©@ a=kP=5P=5X (2,7)= (3,6) 
cs=m++kQ=(10,9) 二 5X(8,3)==(10,9) 十 (5,2)==(5,9) 
即 密 文 为 c==((3,6),(5,9))。 
@ 由 密 文 c=((7,2),(3,6)) ,根据 解密 算法 : 
m= cz 一 acl 一 (3,6) 一 3X(7,2) 一 (3,6) 一 (3,5) 
一 (3.6) 十 (3,6) = (8,8) 
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443 椭圆 曲线 的 密码 学 性 能 


在 密码 学 应 用 中 有 三 种 系统 一 般 被 认为 是 安全 且 有 效 的 , 即 整数 的 因 式 分 解 系统 、 
离散 对 数 系统 、 椭 圆 曲 线 离散 对 数 系 统 ,它们 分 别 基 于 整数 因 式 分 解 问题 .离散 对 数 问 
题 和 椭圆 曲线 离散 对 数 问 题 。 以 下 通过 对 三 种 系统 的 比较 来 考查 椭圆 曲线 的 密码 学 
性 能 。 

(1) 安全 性 分 析 

这 里 指 理论 上 的 安全 性 , 即 攻破 公 钥 系统 的 难度 ,而 不 是 物理 安全 性 。 在 比较 三 种 系 
统 的 安全 性 之 前 ,首先 做 几 个 假设 。 

Q@ 要 攻破 公 钥 系统 必须 解决 该 公 钥 系统 所 依赖 的 数学 难题 。 这 一 假设 是 合理 的 , 因 
为 每 个 公 钥 系统 都 经 历 了 多 年 的 公开 考验 ,数学 上 的 形式 逻辑 证 明了 这 一 点 

@ 用 相应 算法 的 复杂 度 考 查 三 个 难题 的 难 解 性 。 目 前 还 没有 在 数学 上 证 明 解决 这 
三 个 难题 的 最 好 算法 呈 指 数 时 间 复 杂 度 ,因此 只 能 依据 目前 已 知 的 解决 这 些 难题 的 最 好 
算法 的 复杂 度 来 考查 这 三 个 难题 的 难 解 性 。 

@ 这 三 个 难题 在 某 些 特殊 情况 下 不 是 难 解 的 。 对 于 整数 的 因 式 分 解难 题 ,n= 二 pXg， 
当 p 一 1 或 g 一 1 只 有 小 的 素 因子 时 存在 快速 解法 ; 对 于 模 的 离散 对 数 难 题 , 当 只 有 小 的 
素 因 子 时 存在 快速 解法 ; 对 于 椭圆 曲线 离散 对 数 难题 , 超 奇 异 椭圆 曲线 和 不 规则 椭圆 曲 
线 上 的 ECDLP 相对 容易 , 易 遭 到 特定 算法 的 攻击 ,此 时 ECDLP 可 退化 为 有 限 域 低 次 扩 
域 上 的 离散 对 数 问题 ,能 在 多 项 式 时 间 内 求解 。 不 过 上 述 这 些 情 况 很 容易 被 鉴别 ,从 而 可 
避免 相应 的 攻击 。 这 里 不 考虑 这 些 特殊 情况 。 

基于 模 运 算 的 整数 因 式 分 解 问题 和 离散 对 数 问 题 都 存在 亚 指数 时 间 复 杂 度 的 通用 算 
法 。 亚 指数 时 间 算 法 没有 指数 时 间 算 法 难 ,目前 采用 最 快 的 算法 来 计算 这 两 类 问题 所 需 
要 的 时 间 复 杂 度 为 OC(exp(c 十 o(1)) (ln go (ln g)2%2)(9 为 模 的 大 小 ); 椭圆 曲线 上 的 离 
散 对 数 问 题 在 #E(F,) 有 大 的 素 因子 时 是 一 个 难题 ,最 有 效 的 算法 只 有 指数 时 间 算 法 ,其 
时 间 复 杂 度 为 O(Wq) ,因此 ECDLP 较 另 两 类 问题 更 为 难 解 , 表 明 ECC 能 以 更 小 的 密 钥 
长 度 产 生 与 其 他 公 钥 体制 相同 等 级 的 安全 性 。 

(2) 有 效 性 分 析 

一 个 公 钥 系统 的 有 效 性 需 考虑 三 个 因素 : 计算 开销 、 密 钥 长 度 和 带宽 。 对 不 同系 统 
的 有 效 性 进行 比较 应 基于 相同 的 安全 级 。 我 们 选择 密 钥 长 为 160b 的 ECC、1024b 的 
RSA 和 DSA, 这 些 密 钥 长 度 为 各 自 系 统 提供 了 彼此 相当 的 安全 级 。 

Q@ 计算 开销 。RSA 一 般 选 择 = 一 65 537 王 (285 十 1) ,这 样 e 的 二 进 制 表达 式 中 只 含 两 
个 1, 可 大 大 减少 计算 量 。 对 于 DSA 和 椭圆 曲线 数字 签名 算法 或 椭圆 曲线 加 密 方 案 , 大 
部 分 数字 签名 和 加 密 操作 能 进行 预计 算 。 假 设 一 次 椭圆 曲线 加 法 大 约 花费 10 次 模 乘 的 
开销 ,一 次 1024b 模 乘 运算 花费 一 个 单元 时 间 , 所 有 应 用 于 离散 对 数 加 密 系统 的 预计 算 技 
巧 同等 地 应 用 于 椭圆 曲线 系统 中 。 各 系统 的 计算 开销 如 表 4-1 所 示 , 其 中 9 为 160b, 表 中 
数据 表示 完成 给 定 操作 所 需 的 时 间 单 元 数 。 
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表 4-1 不 采用 优化 措施 时 ,各 系统 计算 开销 的 大 致 比较 














项 目 | 基于 F, 的 ECDSA 或 ECES| RSA(n=1024b,e=2' 十 1) 离散 对 数 系统 /1024b 
加 密 120 17 480 
解密 60 384 240 
签名 60 384 240 
验 签 120 17 480 











ECC 可 在 很 短 的 时 间 里 产生 符合 条 件 的 密 钥 ,即使 一 个 计算 能 力 非常 有 限 的 智能 卡 
也 能 产生 满足 要 求 的 密 钥 对 ,其 他 公 钥 体制 由 于 产生 密 钥 所 需 的 计算 非常 复杂 ,在 计算 能 
力 受 限 的 情况 下 很 难产 生 合适 的 密 钥 。 另 外 ,由 于 ECC 的 基 域 及 其 元 素 表 示 法 能 被 选择 
(虽然 基于 域 F, 和 Fo 的 ECC 在 安全 性 和 标准 化 上 没有 区 别 , 但 在 实际 的 应 用 上 其 性 能 
和 成 本 还 是 有 区 别 的 ), 从 而 域 运算 ( 域 加 / 域 乘 / 域 求 逆 ) 能 被 优化 ,基于 离散 对 数 和 整数 
因 式 分 解 的 公 钥 密码 系统 不 能 做 到 这 一 点 。 

@ 密 钥 长 度 。 密 钥 长 度 决定 存储 密 钥 对 和 系统 参数 需要 的 比特 数 ,ECC、RSA/DSA 
的 系统 参数 和 密 钥 对 长 度 的 比较 如 表 4-2 所 示 。 可 以 看 出 ,ECC 所 用 的 密 钥 对 和 系统 参 
数 比 RSA/DSA 要 求 的 短 。 


表 4-2 ECC、RSA/DSA 的 系统 参数 和 密 钥 对 长 度 比 较 











项 目 系数 参数 /b 公 钥 /b 私 钥 /b 
RSA 一 1088 2048 
DSA 2208 1024 160 
ECC 481 161 160 











@ 带宽 。 带 宽 是 指 传 送 一 个 加 密 消息 或 一 个 签名 所 需 传输 的 比特 数 。 当 三 类 公 
系统 用 于 加 密 或 对 长 消息 进行 数字 签名 时 ,具有 相似 的 带宽 要 求 。 当 传送 短 消息 时 带宽 
的 要 求 值 得 注意 ,因为 公 钥 密 码 系统 经 常用 于 传送 短 消息 (如 为 对 称 密码 系统 传送 会 话 密 
钥 ) 。 为 了 进行 具体 的 比较 ,假设 待 签名 消息 长 度 为 2000b, 待 加 密 消息 长 度 为 100b, 几 种 
情况 下 签名 和 加 密 消 息 的 长 度 比较 如 表 4-3 和 表 4-4 所 示 。 可 以 看 出 , 当 对 短 消息 加 密 
时 ,ECC 比 其 他 公 钥 系统 节省 带宽 ,而 且 ECC 的 点 压缩 技术 进一步 节省 了 存储 密 钥 .证 
书 的 空间 和 带宽 。 

表 4-3 对 长 消息 (2000b) 签 名 的 长 度 











项 目 签名 长 度 /b 
RSA 1024 
DSA 320 
ECC 320 


表 4-4 对 短 消 息 (100b) 加 密 的 长 度 














项 目 加 密 消 息 长 度 /b 
RSA 1024 
ElGamal 2048 
ECC 321 
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(3) 椭圆 曲线 密码 性 能 总 结 

综合 上 述 分 析 ,ECC 与 其 他 公 钥 加 密 系统 相 比 能 提供 更 好 的 加 密 强度 、 更 快 的 执行 
速度 和 更 小 的 密 钥 长 度 ,因此 ECC 可 用 较 小 的 开销 (所 需 的 计算 量 、 存 储量 、 带 宽 、 软 件 和 
硬件 实现 的 规模 等 ) 和 时 延 ( 加 密 和 签字 速度 高 ) 实 现 较 高 的 安全 性 ,特别 适用 于 计算 能 力 
和 集成 电路 空间 受 限 ( 如 IC 卡 ) 带宽 受 限 (如 无 线 通 信 ) 要 求 高 速 实现 的 情况 。 

除 上 述 安全 性 和 有 效 性 之 外 ,影响 一 个 密码 系统 广泛 应 用 的 还 有 操作 性 、 公 众 接收 程 
度 和 技术 因素 。ECC 的 标准 化 促进 了 ECC 在 全 球 范围 的 应 用 : 1998 年 ECDSA 被 确定 
为 ISO/IEC 数字 签名 标准 ISO 14888-3; 1999 年 2 月 ECDSA 被 ANSI 确定 为 数字 签名 
标准 ANSI X9. 62 一 1998, ECDH 被 确定 为 ANSI X9. 63; 2000 年 ECDSA 被 确定 为 
IEEE 标准 IEEE 1363 一 2000, 同 期 ,NIST 确定 其 为 联邦 数字 签名 标准 FIPS 186-2; 另外 
ECC 还 被 确定 为 高 效 密码 标准 SEQ 等 。 

(4) 椭圆 曲线 密码 对 移动 环境 的 适应 性 

从 安全 角度 看 , 受 限 环境 是 指 时 间 ( 即 密 钥 生成 、 签 名、 验证 等 )、 空 间 ( 即 ROM、 
RAM .带宽 , 码 长 度 、 数 据 长 度 等 ) 和 耗费 ( 即 能 量 、 金 钱 等 ) 限 制 安全 目标 的 环境 。 通 过 对 
ECC 性 能 的 分 析 , 可 以 看 出 ECC 尤其 适合 需要 密集 的 公 钥 操作 环境 和 受 限 环境 ,例如 ， 
信道 受 限 环境 、 使 用 智能 卡 或 令 牌 的 环境 。 

信道 受 限 环 境 指 通信 一 端 或 两 端的 计算 能 力 有 限 、 数 据 传输 速率 或 带宽 由 信道 限定 
的 环境 。 由 于 移动 终端 通常 计算 能 力 、 存 储 能 力 .RAM 带宽 和 功率 受 限 ,因此 移动 通信 
属于 信道 受 限 环境 ,采用 ECC, 可 以 节约 密 钥 和 证 书 的 存储 空间 ,加 快 计算 速 度 , 节 约 电 
池 消 耗 。 同 时 移动 通信 系统 也 适合 使 用 智能 卡 的 环境 ,采用 ECC 可 以 克服 智能 卡 的 局 限 。 

QO@ 更 小 的 EEPROM 和 更 短 的 传输 时 间 。ECC 可 以 采用 更 小 的 密 钥 和 证 书 尺寸 达 
到 相同 的 密码 强度 ,这 意味 着 ECC 需要 更 小 的 EEPROM 存储 密 钥 和 证 书 , 卡 和 应 用 之 
间 传 输 密 钥 和 证 书 的 时 间 也 大 大 缩短 。 

@ 不 需要 协 处 理 器 。 相 比 其 他 公 钥 系统 ,ECC 处 理 时 间 缩 短 从 而 更 适用 于 智能 卡 平 

。 其 他 公 钥 系统 涉及 很 多 计算 ,通常 需要 密 钥 协 处 理 器 。 协 处 理 器 不 仅 占用 宝贵 的 空 
问 。 还 增加 了 20 皮 一 30 昕 的 芯片 成 本 。ECC 算法 可 以 在 ROM 中 执行 ,不 需要 额外 的 
硬件 。 

@ 卡 内 密 钥 生成 。 公 钥 系 统 中 的 私 钥 必须 保密 。 采 用 其 他 公 钥 系统 ,因为 计算 复 
杂 , 卡 内 生成 密 钥 通常 是 不 现实 的 , 密 钥 通常 在 假定 安全 的 环境 中 加 载 到 卡 中 。 对 ECC 
来 说 ,生成 密 钥 对 的 时 间 要 短 得 多 ,即使 在 计算 能 力 受 限 的 智能 卡 内 也 可 能 产生 密 钥 对 。 


习题 4 





1. 应 用 RSA 算法 对 下 列 情况 进行 加 解密 ,并 比较 计算 结果 : 
(1) p=3,g=11,d=7;M=5。 
(2) p=5,g=1l,e=3;M=9。 
(3) p=7,g=1l1,e=17;M=8。 
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(4) p=11,g=13,e=11;M=7。 

(5) p=17,g=31,e=7;M=2。 

2. 设 截获 e 二 5,n 二 35 的 用 户 密 文 C 王 10 ,请 问 M 是 多 少 ? 

3. 对 于 RSA 算法 ,已 知 e==31,n 二 3599, 求 d。 

4. 在 RSA 算法 中 ,如 果 经 过 有 限 的 几 次 重复 编码 之 后 又 得 到 明文 ,那么 可 能 的 原因 
是 什么 ? 

5. 对 于 椭圆 曲线 y= 二 zx 十 zx 十 6, 考 虑 点 G 一 (2,7) ,计算 2G 到 3G 的 各 倍数 值 。 

6. 对 于 椭圆 曲线 y==xz 十 x 十 6, 考 虑 点 G 二 (2,7) ,已 知 秘密 密 钥 n= 二 7, 计 算 : 

(1) 公开 密 钥 已 。 

(2) 已 知 明文 P, 二 (10,9) ,并 选择 随机 数 & 一 3 ,确定 密 文 Cu 。 
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第 5 将 
” 。 密 钥 分 配 与 管理 


密 钥 的 分 配 与 管理 技术 所 解决 的 是 网 络 环境 中 需要 进行 安全 通信 的 端 实体 之 间 建 立 
共享 的 密 钥 的 问题 ,最 简单 的 解决 办 法 就 是 预先 约定 一 个 对 称 密 钥 序 列 并 通过 安全 的 渠 
道 送 达 对 方 , 以 后 按 约 定 使 用 。 如 果 密 钥 用 量 较 大 , 且 更 换 频 繁 , 则 密 钥 的 传递 就 会 成 为 
严重 的 负担 ,而 多 数 用 户 之 间 可 能 并 没有 安全 的 传输 渠道 ,因此 就 需要 研究 在 不 安全 的 通 
信 信 道中 传递 密 钥 的 方法 。 本 章 首先 介绍 单 钥 和 公 钥 加 密 体制 的 密 钥 分 配 技术 ,然后 介 
绍 密 钥 托管 及 秘密 分 割 技术 ,最 后 介绍 常用 的 消息 认证 技术 。 
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511 密 钥 分 配 的 基本 方法 


两 个 用 户 在 用 单 钥 密 码 体制 进行 保密 通信 时 ,必须 有 一 个 共享 的 秘密 密 钥 , 而 且 为 防 
止 攻击 者 得 到 密 钥 ,还 必须 经 常 更 新 密 钥 。 因 此 ,密码 系统 的 强度 也 依赖 于 密 钥 分 配 技 
术 。 用 户 A 和 了 获得 共享 密 钥 的 方法 基本 上 有 以 下 几 种 。 

@ 密 钥 由 A 选取 并 通过 物理 手段 发 送 给 B, 如 图 5-1 所 示 。 

@ 密 钥 由 第 三 方 选取 并 通过 物理 手段 发 送 给 A 和 了, 如 图 5-2 所 示 。 
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图 5-1 第 一 种 方法 图 5-2 第 二 种 方法 


@ 如 果 A、B 事先 已 有 一 密 钥 , 则 其 中 一 方 选取 新 密 钥 后 ,用 已 有 的 密 钥 加 密 新 密 钥 
并 发 送 给 另 一 方 ,如 图 5-3 所 示 。 

@ 如 果 A 和 了 与 第 三 方 C 分 别 有 一 保密 信道 , 则 C 为 A、B 选取 密 钥 后 ,分 别 在 两 
个 保密 信道 上 发 送 给 A、B, 如 图 5-4 所 示 。 


已 有 共享 密 钥 4(A ) 人 ( B ) 已 有 共享 密 钢 4 四 人 


ka-KDC kp-gpc 


图 5-3 第 三 种 方法 图 5-4 第 四 种 方法 
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前 两 种 方法 称 为 人 工 发 送 , 密 钥 的 人 工 发 送 在 网 络 的 链 路 加 密 时 还 是 可 行 的 ,因为 只 
有 该 链 路 上 的 两 端 交 换 数 据 。 而 密 钥 的 人 工 发 送 在 网 络 的 端 - 端 加 密 方式 中 将 不 再 可 行 ， 
因为 车 加 密 是 在 网 络 层 , 则 网 络 中 任 一 对 主机 都 必须 有 一 共享 密 钥 。 如 果 有 7 台 主 机 , 则 
密 钥 数目 为 n(n 一 1)/2。 当 很 大 时 , 密 钥 分 配 的 代价 非常 大 。 

第 三 种 方法 对 链 路 加 密 和 端 - 端 加 密 方式 都 是 可 行 的 ,但 是 攻击 者 一 旦 获得 一 个 密 钥 
就 可 获取 以 后 的 所 有 密 钥 。 其 初始 密 钥 的 分 配 代价 仍然 很 大 。 

第 四 种 方法 广泛 用 于 端 - 端 加 密 方式 时 的 密 钥 分 配 , 其 中 的 第 三 方 通常 是 一 个 负责 为 
用 户 分 配 密 钥 的 密 钥 中 心 (Key Distribution Center,KDC) 。 每 个 用 户 必须 和 KDC 有 一 
个 共享 密 钥 , 称 为 主 密 钥 。 通 过 主 密 钥 分 配给 一 对 用 户 的 密 钥 称 为 会 话 密 钥 ,用 于 这 一 对 
用 户 之 间 的 保密 通信 。 通 信和 完成 后 ,会 话 密 钥 即刻 被 销毁 。 若 用 户 数 为 n 个 , 则 会 话 密 钥 
数 为 n(n 一 1)/2。 但 主 密 钥 数 却 只 需 个, 则 可 通过 物理 手段 发 送 主 密 钥 。 


512 密 钥 分 配 的 一 个 实例 


如 图 5-5 所 示 ,假定 两 个 用 户 A、B 分 别 与 密 钥 分 配 中心 有 一 个 共享 的 主 密 钥 ks 和 
ks,A 希望 与 BB 建立 一 个 共享 的 一 次 性 会 话 密 钥 , 可 通过 以 下 几 步 来 完成 : 






CD RequestllN' 


3 Ei, [klRequest|NIEx,( ks ,IDA)] 


3 Ex, (Ks,IDA) 
@ E(N) a 


© E/N)] 











图 5-5” 密 钥 分 配 实例 


Q@ A 向 KDC 发 出 会 话 密 钥 请 求 。 

表示 请 求 的 消息 由 两 个 数据 项 组 成 : 第 一 项 Request 是 A 和 B 的 身份 ,第 二 项 是 这 
次 业务 的 唯一 识别 符 Ni , 称 Ni 为 一 次 性 随机 数 ,可 以 是 时 间 惟 ,计数 器 或 随机 数 。 每 次 
的 Ni 都 应 不 同 , 且 为 防止 假冒 ,应 使 敌手 对 Ni 难以 猜测 。 因 此 用 随机 数 作 为 这 个 识别 
符 最 为 合适 。 

@ KDC 为 A 的 请 求 发 出 应 答 。 

应 答 由 As 加 密 , 只 有 A 能 成 功 解密 , 且 A 可 相信 这 一 消息 的 确 是 由 KDC 发 出 的 。 

消息 中 包括 A 希望 得 到 的 两 项 内 容 : 

a. 一 次 性 会 话 密 钥 Ks。 

b. A 在 中 发 出 的 请 求 ,包括 一 次 性 随机 数 Ni ,目的 是 使 A 将 收 到 的 应 答 与 发 出 的 
请 求 相 比较 ,确定 是 否 匹 配 。 

。 A 能 验证 自己 发 出 的 请 求 在 被 KDC 收 到 之 前 ,是 否 被 他 人 算 改 。 

。 A 还 能 根据 一 次 性 随机 数 相信 收 到 的 应 答 不 是 重 放 的 过 去 的 应 答 。 
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消息 中 还 有 B 希望 得 到 的 两 项 内 容 : 

a. 一 次 性 会 话 密 钥 ks。 

b. A 的 身份 (例如 A 的 网 络 地 址 )IDA 。 

。 这 两 项 由 ks 加 密 ,将 由 A 转发 给 B, 以 建立 A、B 之 间 的 连接 。 

。 并 用 于 向 B 证 明 A 的 身份 。 

@ A 存储 会 话 密 钥 ks ,并 向 了 转发 Eu [ks 上 | IDA]。 

a. 因为 转发 的 是 由 ks 加 密 后 的 密 文 ,所 以 转发 过 程 不 会 被 窃听 。 

b. B 收 到 后 ,可 得 到 会 话 密 钥 ks ,并 由 IDA 可 知 另 一 方 是 A, 而 且 还 从 Eu 知道 es 的 
确 来 自 KDC。 

c. 这 一 步 完成 后 ,会 话 密 钥 就 安全 地 分 配给 了 A、B。 

然而 还 能 继续 以 下 两 步 工作 : 

@ B 用 会 话 密 钥 ks 加 密 另 一 个 一 次 性 随机 数 N, ,并 将 加 密 结果 发 送 给 A。 

@ A 以 f(N;) 作 为 对 B 的 应 答 , 其 中 了 是 对 Ns 进行 某 种 变换 (例如 加 1) 的 函数 ,并 
将 应 答 用 会 话 密 钥 加 密 后 发 送 给 B。 

这 两 步 可 使 B 相信 第 @ 步 收 到 的 消息 不 是 一 个 重 放 。 

注意 : 第 @ 步 就 已 完成 密 角 分配, 第 @\、@@ 两 步 结合 第 @ 步 执行 的 是 认证 功能 。 


52 公 钥 加 密 体制 的 密 钥 管理 





接 下 来 ,从 两 个 方面 介绍 公 钥 加 密 体 制 下 的 密 钥 分 配 : 四 公 钥 加 密 体 制 所 使 用 的 公 
开 密 钥 的 分 配 ; @ 用 公 钥 体制 来 分 配 单 钥 加 密 体制 所 需 的 密 钥 。 


521 公 钥 的 分 配 


公 钥 加 密 的 一 个 主要 用 途 是 分 配 单 钥 密码 体制 使 用 的 密 钥 。 公 钥 密码 体制 所 用 的 公 
开 密 钥 的 分 配方 法 如 下 : 

1 公开 发 布 

用 户 将 自己 的 公 钥 发 给 每 一 个 其 他 用 户 或 向 某 一 团体 广播 。 这 种 方法 虽 简单 却 使 任 
何人 都 可 伪造 这 种 公开 发 布 。 假 冒 者 可 解读 发 向 被 伪造 方 的 加 密 消息 ,还 可 用 伪造 的 密 
钥 获得 认证 。 

2 公用 目录 表 

公用 目录 表 是 指 建立 一 个 公用 的 公 钥 动态 目录 表 , 由 某 个 可 信 的 实体 或 组 织 承 担 目 
录 表 的 建立 ,维护 以 及 公 钥 的 分 布 。 这 种 方法 比 前 一 种 安全 性 更 高 ,但 仍然 容易 受到 
攻击 。 
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公 钥 管理 机 构 为 各 用 户 建立 、 维 护 动态 公 钥 目 录 。 同 时 每 个 用 户 都 可 靠 地 知道 管理 机 构 
的 公 钥 ,而 只 有 管理 机 构 自 己 知道 相应 的 秘密 钥 。 公 钥 的 分 配 如 图 5-6 所 示 。 













公 钥 管理 机 构 
(D RequestllTime> 


D RequestllTime' 
5) Eskau[PKa llRequestl|Time,] 
回 Esksu[PKB]IIRequestlTimei] 


® EprsllDalIN] 
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D Epks[N] 





5-6 ” 公 钥 管理 机 构 分 配 公 钥 


Q@ 用 户 A 向 公 钥 管理 机 构 发 送 一 带 有 时 间 蕉 的 消息 ,请 求 获取 用 户 B 当前 的 公 钥 。 

@ 管理 机 构 用 自己 的 秘密 钥 SKAu 加 密 对 A 的 请 求 做 出 应 答 。A 可 以 用 管理 机 构 的 
公开 钥 解 密 , 并 使 A 相信 这 个 消息 的 确 是 来 源 于 管理 机 构 。 其 应 答 的 消息 有 以 下 作用 。 

a. B 的 公 钥 PKs ,A 可 用 其 对 将 要 发 往 B 的 消息 加 密 。 

b. A 验证 自己 最 初 发 出 的 请 求 在 被 管理 机 构 收 到 以 前 未 被 算 改 。 

c, 时 间 截 使 A 相信 管理 机 构 发 来 的 消息 是 B 当前 的 公 钥 。 

@ A 用 B 的 公开 钥 对 一 个 消息 加 密 后 发 送 给 B, 其 中 一 项 是 A 的 身份 IDA, 另 一 项 
是 一 个 一 次 性 随机 数 Ni ,用 于 唯一 地 标识 本 次 业务 。 

@.®B 以 相同 的 方式 从 管理 机 构 获 取 A 的 公开 钥 。 此 时 ,A 和 B 都 已 安全 地 得 到 
了 对 方 的 公 钥 ,但 仍 需要 进一步 的 相互 认证 。 

@ B 用 PKA 对 一 个 消息 加 密 后 发 送 给 A, 其 消息 有 A 的 一 次 性 随机 数 N 和 B 产生 
的 一 个 新 的 一 次 性 随机 数 Ns 。 因 为 只 有 也 能 解密 加 的 消息 ,所 以 A 收 到 的 消息 中 的 Ni 
可 使 其 相信 通信 的 另 一 方 的 确 是 B。 

@ A 用 B 的 公 钥 对 Ns 加 密 后 返回 给 B, 可 使 B 相信 通信 的 另 一 方 的 确 是 A。 

以 上 7 个 消息 中 的 前 4 个 消息 是 用 于 获取 对 方 的 公 钥 。 当 用 户 得 到 对 方 的 公 钥 后 保 
存 , 使 之 以 后 使 用 时 只 发 送 @、 确 认 消 息 即 可 。 但 还 必须 定期 地 通过 密 钥 管理 机 构 中 心 
获取 通信 对 方 的 公 钥 ,以 免 对 方 的 公 钥 更 新 后 无 法 保证 当前 的 通信 。 

公 钥 管理 机 构 方式 的 优 缺 点 : 

每 次 密 钥 的 获得 由 公 钥 管理 机 构 查询 并 认证 发 送 ,用 户 不 需要 查 表 , 提 高 了 安 
全 性 。 

@ 公 钥 管理 机 构 必 须 一 直 在 线 , 由 于 每 一 用 户 要 想 和 他 人 联系 都 需求 助 于 管理 机 
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构 , 所 以 管理 机 构 有 可 能 成 为 系统 的 瓶颈 。 

@ 由 管理 机 构 维护 的 公 钥 目录 表 易 被 敌手 通过 一 定 方式 窜 扰 。 

4 公 钥 证 书 

公 钥 分 配 的 另 一 种 方法 是 公 钥 证 书 ,用 户 通过 公 钥 证 书 相互 交换 自己 的 公 钥 而 无 须 
与 公 钥 管理 机 构 联 系 。 公 钥 证 书 由 证 书 管理 机 构 (Certificate Authority, CA) 为 用 户 建 
立 , 其 证 书 的 数据 项 有 用 户 的 公 钥 、 身 份 和 时 间 惟 等 ,这 些 数 据 项 经 CA 用 自己 的 秘密 钥 
签字 后 形成 证 书 , 其 形式 为 CA 二 Esk、[T,IDs ,PKA], 其 中 ID。 是 用 户 A 的 身份 ,PKA 是 
A 的 公 钥 , 工 是 当前 时 间 戳 ,SKcA 是 证 书 管理 机 构 的 秘密 钥 ,CA 即 为 用 户 A 产生 的 证 
书 , 如 图 5-7 所 示 。 



























































随机 数 产生 c Waa 
公开 
[~ 秘密 钥 [i 




















图 5-7 证 书 的 产生 过 程 


用 户 可 将 自己 的 公开 钥 通 过 公 钥 证 书 发 给 另 一 用 户 ,接收 方 可 用 证 书 管理 机 构 的 公 
钥 PKcA 对 证 书 加 以 验证 , 即 Dmx [CA]= Dekw [Es[T,IDA,PKA]]=(T,IDA,PKA)， 
因为 只 有 用 证 书 管理 机 构 的 公 钥 才能 解读 证 书 , 同 时 获得 了 发 送 方 的 IDA 和 公开 铀 
PKA。 时 间 截 用 于 鉴定 收 到 的 证 书 是 否 是 当前 的 或 有 效 的 。 


522 用 公 钥 加 密 分 配 单 钥 密码 体制 的 密 角 


公开 钥 分 配 完成 后 ,用 户 就 可 用 公 钥 加 密 体制 进行 保密 通信 。 然 而 由 于 公 钥 加 密 的 
速度 过 慢 ,以 此 进行 保密 通信 不 太 合适 ,但 用 于 分 配 单 钥 密码 体制 的 密 钥 却 非 常 合适 。 


1 简单 分 配 
图 5-8 简单 描述 了 使 用 公 钥 加 密 算 法 建立 会 话 密 钥 的 过 程 , 如 果 A 希望 与 B 通 信 ， 
可 通过 以 下 几 步 建立 会 话 密 钥 : 


图 5-8 简单 使 用 公 钥 加 密 算法 建立 会 话 密 钥 


@D A 产 生 自己 的 一 对 密 钥 {PKA ,SKA} ,并 向 了 发 送 PKA | IDA ,其 中 IDs 表示 A 的 
身份 。 
@ B 产 生 会 话 密 钥 es .并 用 A 的 公开 钥 PKA 对 ks 加 密 后 发 往 A。 
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@ A 由 Dsk,[LEek,[As]] 恢 复 会 话 密 钥 。 因 为 只 有 A 能 解读 ks, 所 以 仅 A、B 知道 这 
一 共享 密 钥 。 

@ A 销毁 (PKA,SKA},B 销毁 PKa。 

经 过 以 上 的 步骤 后 ,A、B 就 可 以 用 单 钥 加 密 算法 以 &s 作为 会 话 密 钥 进行 保密 通信 ， 
通信 完成 后 ,又 都 将 As 销毁 。 这 种 分 配 法 虽然 简单 .但 却 由 于 A、B 双方 在 通信 前 和 完成 
通信 后 都 没有 存储 密 钥 ,因此 密 钥 泄露 的 危险 性 最 小 ,还 可 以 防止 双方 的 通信 被 攻击 者 监 
听 。 用 公 钥 加 密 算法 建立 会 话 密 钥 这 种 协议 容易 受到 攻击 , 若 攻击 者 下 已 接 人 A、B 双方 
的 通信 信道 ,就 可 通过 以 下 不 被 察觉 的 方式 截获 双方 的 通信 : 

Q@ 与 上 面 的 步骤 相同 。 

@ EE 截获 A 的 发 送 后 ,建立 自己 的 一 对 密 钥 {PKe ,SKe}) ,并 将 PKs | IDA 发 送 给 B。 

@ B 产生 会 话 密 钥 ks 后 ,将 Epks [As] 发 送出 去 。 

@@ 下 截获 B 发 送 的 消息 后 ,由 Dpr, [Epr, [As]] 解 读 As。 

@E 再 将 Epxr、 [ks] 发 往 A。 

现在 A 和 PB 知道 ks ,但 并 未 意识 到 ks 已 被 EE 截获 。A.\B 在 用 ks 通信 时 ,E 就 可 以 
实施 监听 。 


2 具有 保密 性 和 认证 性 的 密 钥 分 配 
此 种 密 钥 分 配 过 程 具有 保密 性 和 认证 性 ,因此 既 可 防止 被 动 攻击 ,又 可 防止 主动 攻 
击 , 如 图 5-9 所 示 。 假 定 A、B 双方 已 完成 公 钥 交 换 ,可 按 以 下 步骤 建立 共享 会 话 密 钥 : 


© EprglIDAIINI] 





@ EpkslEsk [ks]] 
5-9 具有 保密 性 和 认证 性 的 密 钥 分 配 


Q@ A 用 PKs 的 公开 钥 加 密 A 的 身份 IDA 和 一 个 一 次 性 随机 数 Ni 后 发 往 B, 其 中 
Ni 用 于 唯一 地 标识 这 一 业务 。 

Q@ B 用 PKA 加 密 Ni 和 B 新 产生 的 一 次 性 随机 数 N, 后 发 往 A。B 发 来 的 消息 中 
Ni 的 存在 可 使 A 相信 对 方 的 确 是 B。 

@ A 用 PKs 对 Ns 加 密 后 返回 给 B, 使 B 相信 对 方 的 确 是 A。 

@ A 选 一 会 话 密 钥 ks ,然后 将 M 二 Eprk, LEsr, Lks]] 发 给 B, 其 中 用 B 的 公开 钥 加 密 
是 为 保证 只 有 B 能 解读 加 密 结果 ,用 A 的 秘密 钥 加 密 是 保证 该 加 密 结果 只 有 A 能 
发 送 。 

@ B 以 Dek\LDsksLMJ]] 恢 复 会 话 密 钥 。 

注意 : 这 个 方案 其 实 是 有 漏洞 的 , 即 第 4 条 消息 容易 被 重 放 , 假 设 敌手 知道 上 次 通话 
时 协商 的 会 话 密 钥 hs, 以 及 A 对 ks 的 签名 和 加 密 , 则 通过 简单 的 重 放 即 可 实现 对 也 的 其 
骗 , 解 决 的 方法 是 将 第 3 和 第 4 条 消息 合并 发 送 。 

方案 修改 后 的 过 程 如 图 5-10 所 示 。 
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5-10 具有 保密 性 和 认证 性 的 密 钥 分 配 


523 密 钥 管理 的 一 个 实例 

DH 密 钥 交换 算法 是 W. Diffie 和 M. Hellman 于 1976 年 提出 的 第 一 个 公 钥 密码 算 
法 ,已 在 很 多 商业 产品 中 得 以 应 用 。 

Q@ 算法 的 唯一 目的 是 使 得 两 个 用 户 能 够 安全 地 交换 密 钥 , 得 到 一 个 共享 的 会 话 密 
钥 , 算 法 本 身 不 能 用 于 加 、 解 密 。 

@ 算法 的 安全 性 基于 求 离散 对 数 的 困难 性 。 

算法 过 程 如 图 5-11 所 示 , 其 中 p 是 大 素数 ,a 是 p 的 本 原 根 ,p 和 a 作为 公开 的 全 程 
元 素 。 













用 户 A 用 户 B 
选择 一 随机 数 YA<P 选择 一 随机 数 Xs<p 
计算 =awmodp 计算 区 =oamodP 


计算 k=Fg*modp 计算 k=Ywemodp 





5-11 DH 密 钥 交换 过 程 


用 户 A 选择 一 保密 的 随机 整数 XA ,并 将 YA 一 axs mod p 发 送 给 用 户 B。 类 似 地 ,用 
户 B 选择 一 保密 的 随机 整数 Xs ,并 将 Ya 一 ax mod p 发 送 给 用 户 A。 然 后 A 和 B 分 别 
由 二 YBs mod p 和 k= 二 YX mod p 计算 出 共享 密 钥 ,这 是 因为 : 
Yi mod p=(a*s mod p)*s mod p = (a*s)*s modp 
=a*sXA mod p = axAxs mod p = (a*s mod p)*s mod p 
=YXs mod p 
因 Xa 、Xs 是 保密 的 ,敌手 只 能 得 到 p、a、Ys、Ys, 要 想得到 , 则 必须 得 到 Xs。、Xs 中 
的 一 个 ,这 意味 着 需求 离散 对 数 。 因 此 敌手 求 是 不 可 行 的 。 
例 5-1 DH 密 钥 交换 算法 示例 。p 二 97,a 二 5, A 和 B 分 别 秘密 地 选 XA 二 36， 
Xs 二 58, 并 分 别 计算 





YA 一 53 mod 97=50,Ys=5 mod 97 一 44 
在 交换 YA、Ys 后, 分别 计算 
k= Yis modp= 44%* mod 97 一 75 
有 一 Yi mod p= 50% mod 97 一 75 
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531 密 钥 托管 的 背景 

加 密 技 术 的 快速 发 展 对 保密 通信 和 电子 商务 起 到 了 和 良好 的 推动 作用 。 但 是 ,也 使 得 
政府 法 律 职能 部 门 难以 跟踪 、 截 获 犯 罪 嫌疑 人 员 的 通信 ,特别 是 在 广泛 采用 公开 密 钥 技术 
后 , 随 之 而 来 的 是 公开 密 钥 的 管理 问题 。 对 于 中 央 政 府 来 说 ,为 了 加 强 对 贸易 活动 的 监 
管 ,客观 上 也 需要 银行 海关、 税务 .工商 等 管理 部 门 紧密 协作 。 为 了 打击 犯罪 ,还 要 涉及 
公安 和 国家 安全 部 门 。 这 样 ,交易 方 与 密 钥 管理 机 构 就 不 可 避免 地 产生 联系 。 为 了 监视 
和 防止 计算 机 犯罪 活动 ,人 们 提出 了 密 钥 托 管 的 概念 。 密 钥 托管 与 CA 相 结合 , 既 能 保证 
个 人 通信 与 电子 交易 的 安全 性 ,又 能 实现 政法 职能 部 门 的 管理 介入 ,是 今后 信息 安全 策略 
的 发 展 方向 。 

密 钥 托管 (Key Escrow,KE) 提 供 了 一 种 密 钥 备 份 与 恢复 的 途径 ,也 称 托管 加 密 (Key 
Encryption) 。 从 字面 上 理解 , 密 钥 托管 就 是 指 把 通信 双方 的 会 话 密 钥 交 由 合法 的 第 三 
方 ,以 便 让 合法 的 第 三 方 利用 得 到 的 会 话 密 钥 解密 双方 通信 的 内 容 ,从 而 监视 双方 的 通 
信 。 这 里 所 说 的 合法 的 第 三 方 就 是 密 钥 托管 的 机 构 ,一 般 是 指 政府 保密 部 门 和 法 律 执行 
部 门 。 其 目的 是 保证 对 个 人 没有 绝对 的 隐私 和 绝对 不 可 跟踪 的 匿名 性 , 即 在 强加 密 中 结 
合 对 突 发 事件 的 解密 能 力 。 更 确切 地 说 , 密 钥 托管 是 指 为 公众 和 用 户 提供 更 好 的 安全 通 
信 的 同时 ,也 允许 授权 者 (包括 政府 保密 部 门 法律 执行 部 门 或 有 契约 的 私人 组 织 等 ) 为 了 
国家 、 集 团 和 个 人 隐私 等 安全 利益 ,监听 某 些 通 信 内 容 和 解密 有 关 密 文 。 同 时 ,这 种 技术 
还 可 以 为 用 户 提 供 一 个 备用 的 解密 途径 。 所 以 , 密 钥 托管 也 有 “ 密 钥 恢 复 ”(Key 
Recovery) “数据 恢复 ”和 “特殊 获取 ”等 含义 。 这 种 技术 产生 的 出 发 点 是 政府 机 构 希 望 在 
需要 时 可 通过 密 钥 托管 技术 解密 用 户 的 一 些 特 定 的 信息 ,此 外 当 用 户 的 密 钥 丢失 或 损坏 
时 也 可 通过 密 钥 托管 技术 恢复 出 自己 的 密 钥 。 所 以 这 个 备用 的 手段 不 仅 对 政府 部 门 有 
用 ,对 用 户 自己 也 有 用 ,为 此 ,许多 国家 都 制定 了 相关 的 法 律 法 规 。 美 国政 府 1993 年 4 月 
颁布 了 EES(Escrowed Encryption Standard ,托管 加 密 标准 ) ,该 标准 体现 了 一 种 新 思想 ， 
即 对 密 钥 实行 法 定 托 管 代理 的 机 制 。 该 标准 使 用 的 托管 加 密 技 术 不 仅 提供 了 加 密 功能 ， 
同时 也 使 政府 可 以 在 实施 法 律 许可 下 的 监听 (如 果 向 法 院 提 供 的 证 据 表 明 ,密码 使 用 者 是 
利用 密码 在 进行 危及 国家 安全 和 违反 法 律 规定 的 事 , 经 过 法 院 许可 ,政府 可 以 从 托管 代理 
机 构 取 来 密 钥 参 数 , 经 过 合成 运算 ,就 可 以 直接 侦 听 通信 )。 美 国政 府 希望 用 这 种 办 法 加 
强 政府 对 密码 使 用 的 调控 管理 。 

目前 ,在 美国 有 许多 组 织 都 参加 了 密 钥 托管 标准 (KES) 和 EES 的 开发 工作 ,系统 的 
开发 者 是 司法 部 门 (DOJ) ,NIST 和 基金 自动 化 系统 分 部 对 初始 的 托管 (Escrow) 代 理 都 
进行 了 研究 ,国家 安全 局 (NSA) 负 责 KES 产品 的 生产 ,联邦 调查 局 (FBI) 被 指定 为 最 初 
的 合法 性 强制 用 户 。 

自从 密 钥 托管 出 现 以 来 ,特别 是 美国 政府 的 EES 公布 之 后 ,在 社会 上 引起 了 极 大 的 
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反响 ,很 多 人 对 此 项 技术 颇 有 争议 。 有 关 密 钥 托管 争论 的 主要 焦点 在 于 以 下 两 方 : 一 方 
认为 ,政府 对 密 钥 管 理 控制 的 重要 性 是 出 于 安全 考虑 ,这 样 可 以 允许 合法 的 机 构 依据 适当 
的 法 律 授权 访问 该 托管 密 钥 ,不 但 政府 通过 法 律 授权 可 以 访问 加 密 过 的 文件 和 通信 ,用 户 
在 紧急 情况 时 ,也 可 以 对 解密 数据 的 密 钥 恢复 访问 ; 另 一 方 认为 , 密 钥 托管 技术 侵犯 个 人 
隐私 ,在 他 们 看 来 密 钥 托管 政策 把 公民 的 个 人 隐私 置 于 政府 情报 部 门 手 中 ,一 方面 违 
反 了 美国 宪法 和 个 人 隐私 法 , 另 一 方面 也 使 美国 公司 的 密码 产品 出 口 受到 极 大 的 限制 
和 影响 。 

从 技术 角度 来 看 ,赞成 和 反对 的 意见 也 都 有 。 赞 成 意见 认为 ,应 宣扬 和 推动 这 种 技术 
的 研究 与 开发 ; 反对 意见 认为 ,该 系统 的 技术 还 不 成 熟 , 基 于 密 钥 托管 的 加 密 系统 的 基础 
设施 会 导致 安全 性 能 下 降 ,投资 成 本 增高 。 

本 书 对 这 种 争议 不 做 过 多 评论 ,重点 讨论 这 种 技术 本 身 。 
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密 钥 托管 的 实现 手段 通常 是 把 加 密 的 数据 和 数据 恢复 密 钥 联系 起 来 ,数据 恢复 密 负 
不 必 是 直接 解密 的 密 钥 ,但 由 它 可 以 得 到 解密 密 钥 。 理 论 上 数据 恢复 密 钥 由 所 信任 的 委 
托 人 持 有 ,委托 人 可 以 是 政府 保密 部 门 .法院 或 有 契约 的 私人 组 织 。 一 个 密 钥 也 可 能 在 数 
个 这 样 的 委托 人 中 被 拆 分 成 多 个 分 量 ,分别 由 多 个 委托 人 持 有 。 授 权 机 构 ( 如 调查 机 构 或 
情报 机 构 ) 可 通过 适当 的 程序 (如 获得 法 院 的 许可 ) ,从 数 个 委托 人 手中 恢复 密 钥 。 

从 技术 实现 角度 ,可 以 将 密码 托管 定义 为 : 密 钥 托管 是 指 用 户 向 CA 在 申请 数据 加 
密 证 书 之 前 ,必须 把 自己 的 密 钥 分 成 + 份 交 给 可 信赖 的 :个 托管 人 。 任 何 一 个 托管 人 都 
无 法 通过 自己 存储 的 部 分 用 户 密 钥 恢复 完整 的 用 户 密码 。 只 有 这 上 个 人 存储 的 密 钥 合 在 
一 起 才能 得 到 用 户 的 完整 密 钥 。 因 此 , 密 钥 托管 有 如 下 重要 功能 。 

防止 抵赖 。 在 商务 活动 中 ,通过 数字 签名 即 可 验证 自己 的 身份 以 防 抵赖 。 但 当 用 
户 改变 了 自己 的 密码 ,他 就 可 抵赖 没有 进行 过 此 商务 活动 。 为 了 防止 这 种 抵赖 ,有 几 种 
办 法 : 一 种 是 用 户 在 改 密码 时 必须 向 CA 说 明 ,不 能 私自 改变 ; 另 一 种 是 密 钥 托管 , 当 
用 户 抵赖 时 ,这 t 个 托管 人 就 可 出 示 他 们 存储 的 密 钥 合成 用 户 的 密 钥 ,使 用 户 无 法 
抵赖 。 

@ 政府 监听 。 政 府 .法律 职能 部 门 或 合法 的 第 三 者 为 了 跟踪 、 截 获 犯 罪 嫌疑 人 员 的 
通信 ,需要 获得 通信 双方 的 密 钥 。 这 时 合法 的 监听 者 可 通过 用 户 的 委托 人 收集 密 钥 片 后 
得 到 用 户 密 钥 ,进而 进行 监听 。 

@ 用 户 密 钥 恢复 。 用 户 遗 忘 了 密 钥 想 恢复 密 钥 时 ,可 从 委托 人 那里 收集 密 钥 片 恢复 
密 钥 。 

533 美国 托管 加 密 标准 简介 

1993 年 4 月 ,美国 政府 为 了 满足 其 电信 和 安全、 公众 安全 和 国家 安全 ,提出 了 托管 加 密 
标准 EES, 该 标准 所 使 用 的 托管 加 密 技术 不 仅 提 供 了 强加 密 功 能 ,同时 也 为 政府 机 构 提 
供 了 实施 法 律 授权 下 的 监听 功能 。 这 一 技术 是 通过 一 个 防 富 扰 的 芯片 ( 称 为 Clipper 芯 
片 ) 来 实现 的 。 
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它 有 两 个 特性 : 

@ 一 个 加 密 算法 一 一 Skipjack 算法 ,该 算法 是 由 NSA 设计 的 ,用 于 加 ( 解 ) 密 用 户 间 
通信 的 消息 。 该 算法 已 于 1998 年 3 月 公布 。 

@ 为 法 律 实施 提供 “后 门 ?的 部 分 一 一 法 律 实施 存 取 域 (Law Enforcement Access 
Field,LEAF)。 通 过 这 个 域 ,法 律 实施 部 门 可 在 法 律 授权 下 ,实现 对 用 户 通 信 的 解密 。 


1. Skipack 算 法 

Skipjack 算法 是 一 个 单 钥 分 组 加 密 算 法 , 密 钥 长 80b, 输 入 和 输出 的 分 组 长 均 为 64b。 

可 使 用 4 种 工作 模式 : 电码 本 模式 ,密码 分 组 链接 模式 ,64b 输出 反馈 模式 ,1b、8b、 
16b、32b 或 64b 密码 反馈 模式 。 

算法 的 内 部 细节 在 向 公众 公开 以 前 ,政府 邀请 了 一 些 局 外 人 士 对 算法 做 出 评价 ,并 公 
布 了 评价 结果 。 评 价 结果 认为 算法 的 强度 高 于 DES, 并 且 未 发 现 陷 门 。 

Skipjack 的 密 钥 长 是 80b, 比 DES 的 密 钥 长 24b, 因 此 通过 穷 举 搜索 的 蛮 力 攻击 比 
DES 多 2* 倍 的 搜索 。 所 以 车 假定 处 理 能 力 的 费用 每 18 个 月 减少 一 半 , 那 么 破译 它 所 需 
的 代价 要 1.5X24 二 36 年 才能 减少 到 今天 破译 DES 的 代价 。 


2 托管 加 密 芯 

Skipjack 算法 以 及 在 法 律 授权 下 对 加 密 结果 的 存 取 是 通过 防 帘 扰 的 托管 加 密 芯 片 来 
实现 的 。 蕊 片 装 有 以 下 部 分 : 

Q@ Skipjack 算法 。 

@ 80b 的 族 密 钥 KF(Family Key) ,同一 批 芯片 的 族 密 钥 都 相同 。 

@ 芯片 单元 识别 符 UIDCUnique IDentifier) 。 

@ 80b 的 芯片 单元 密 钥 KU(Unique Key), 它 是 两 个 80b 的 芯片 单元 密 钥 分 量 
(KU ,KU; ) 的 异 或 。 

@ 控制 软件 。 

这 些 部 分 被 固化 在 芯片 上 。 编 程 过 程 是 在 由 两 个 托管 机 构 的 代表 监控 下 的 安全 工厂 
中 进行 的 ,一 段 时 间 一 批 。 编 程 过 程 如 图 5-12 所 示 。 

首先 ,托管 机 构 的 代表 通过 向 编程 设备 输入 两 个 参数 六 .六 (随机 数 ) 对 芯片 编程 处 理 
器 初始 化 。 芯 片 编程 处 理 器 对 每 个 芯片 ,分 别 计算 以 上 两 个 初始 参数 ri 、r。 和 UID 的 函 
数 ,作为 单元 密 钥 的 两 个 分 量 KU 和 KU: 。 求 KU, XOR KU ,作为 芯片 单元 密 钥 KU。 
UID 和 KU 放 在 芯片 中 。 

然后 ,用 分 配给 托管 机 构 1 的 密 钥 加 密 KU, 得 Eu (KU ) 。 类 似 地 ,用 分 配给 托 
管 机 构 2 的 加 密 密 钥 刀 加密 KU 得 Ei, (KU;)。(UID,E, (KU1)) 和 (UID,E,, (KU,)) 
分 别 给 托管 机 构 1 和 托管 机 构 2, 并 以 托管 形式 保存 。 以 加 密 方 式 保存 单元 密 钥 分 量 是 
为 了 防止 密 钥 分 量 被 窃 或 泄露 。 

编程 过 程 结束 后 ,编程 处 理 器 被 清除 ,以 使 芯片 的 单元 密 钥 不 能 被 他 人 获得 或 被 他 人 
计算 ,只 能 从 两 个 托管 机 构 获 得 加 密 的 单元 密 钥 分 量 , 并 且 使 用 特定 的 政府 解密 设备 来 
解密 。 
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托管 机 构 1 托管 机 构 1 

初始 化 | UID | EKU) 
托管 机 构 2 
UID | Ei(KU;) 

托管 机 构 2 | TF 

初始 化 

图 5-12 ”芯片 编程 过 程 
3 用 托管 加 密 芯片 加 窗 


通信 双方 为 了 使 用 Skipjack 算法 加 密 他 们 的 通信 ,都 必须 有 一 个 装 有 托管 加 密 芯片 
的 安全 的 防 窜 扰 设 备 。 该 设备 负责 实现 建立 安全 信道 所 需 的 协议 ,包括 协商 或 分 布 用 于 
加 密 通 信 的 80b 秘密 会 话 密 钥 As 。 
例如 ,会话 密 钥 可 使 用 DH 密 钥 交 换算 法 ,该 算法 执行 过 程 中 ,两 个 设备 仅 交换 公共 
值 即 可 获得 公共 的 秘密 会 话 密 钥 。 
80b 的 会 话 密 钥 ks 建立 后 ,被 传送 给 加 密 芯 片 ,用 于 与 初始 量 IV( 由 芯片 产生 ) 一 起 


产生 LEAF。 


控制 软件 使 用 芯片 单元 密 钥 KU 加 密 As ,然后 将 加 密 后 的 结果 和 芯片 识别 符 UID、 
认证 符 A 链接 ,再 使 用 公共 的 族 密 钥 KF 加 密 以 上 链接 的 结果 而 产生 LEAF。 其 过 程 如 


图 5-13 所 示 。 
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图 5-13 LEAF 过 程 
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最 后 将 IV 和 LEAF 传递 给 接收 芯片 ,用 于 建立 同步 。 同 步 建立 后 ,会 话 密 钥 就 可 用 
于 通信 双方 的 加 解密 。 对 于 语音 通信 ,消息 串 ( 语 音 ) 首 先 应 被 数字 化 。 

图 5-14 显示 的 是 在 发 送 者 的 安全 设备 和 接收 者 的 安全 设备 之 间 传 送 LEAF 以 及 用 
会 话 密 钥 ks 加 密 明 文 消息 hello 的 过 程 。 图 中 未 显示 初始 量 。 
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5-14 传送 LEAF 以 及 用 会 话 密 钥 ks 加 密 明文 消息 hello 的 过 程 


在 双向 通信 (如 电话 ) 中 ,通信 每 一 方 的 安全 设备 都 需 传送 一 个 IV 和 由 其 设备 芯 
计算 出 的 LEAF。 然 后 ,两 个 设备 使 用 同一 会 话 密 钥 ks 来 加 密 传送 给 通信 对 方 的 消息 ， 
并 解密 由 对 方 传 回 的 消息 。 


4 密 钥 托管 的 一 个 应 用 

政府 机 构 在 进行 犯罪 调查 时 ,为 了 监听 被 调查 者 的 通信 ,首先 必须 取得 法 院 的 许可 证 
书 ,并 将 许可 证 书 出 示 给 通信 服务 的 提供 者 (电信 和 部门) ,然后 从 电信 部 门 租用 线路 用 来 截 
取 被 监听 者 的 通信 。 

如 果 被 监听 者 的 通信 是 经 过 加 密 的 , 则 被 截获 的 通信 首先 通过 一 个 政府 控制 的 解密 
设备 。 解 密 设 备 可 识别 由 托管 芯片 加 密 的 通信 ,取出 LEAF 和 IV, 并 使 用 族 密 钥 KF 解 
密 LEAF 以 取出 芯片 识别 符 UID 和 加 密 的 会 话 密 钥 Eru (ks)。 

政府 机 构 将 芯片 识别 符 UID 法院 许可 监听 的 许可 证 书 、 解 密 设 备 的 顺序 号 以 及 政 
府 机 构 对 该 芯片 的 单元 密 钥 分 量 的 要 求 一 起 给 托管 机 构 。 

托管 机 构 在 收 到 并 验证 政府 机 构 传 送 的 内 容 后 ,将 被 加 密 的 单元 密 钥 分 量 
Eu (KU ) 和 Eu (KU ) 传 送 给 政府 机 构 的 解密 设备 。 

解密 设备 分 别 使 用 加 密 密 钥 & 和 ks 解密 Eu (KU ) 和 Eu (KU:) 以 得 到 KU KU: ， 
求 它们 的 异 或 KU, XOR KU; , 即 为 单元 密 钥 KU。 

由 单元 密 钥 KU 解密 Eku (ks) ,得 到 被 调查 者 的 会 话 密 钥 ks。 最 后 解密 设备 使 用 ks 
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解密 被 调查 者 的 通信 。 

为 了 实现 解密 ,解密 设备 在 初始 化 阶段 ,应 安装 族 密 钥 KF 和 密 钥 加 密 密 钥 ki 、k,。 

托管 机 构 在 传送 加 密 的 密 钥 分 量 时 ,也 传送 监听 的 截止 时 间 。 因 此 解密 设备 的 设计 
应 使 得 它 到 截止 时 间 后 ,可 自动 销毁 芯片 单元 密 钥 及 用 于 得 到 单元 密 钥 的 所 有 信息 。 

同时 ,因为 每 一 次 新 的 会 话 用 一 新 的 会 话 密 钥 加 密 , 所 以 解密 设备 在 监听 的 截止 时 间 
之 前 ,在 截获 调查 者 新 的 会 话 时 ,可 不 经 过 托管 机 构 而 直接 从 LEAF 中 提取 并 解密 会 话 
密 钥 。 

因此 , 除 在 得 到 密 钥 时 可 有 一 个 时 间 延 迟 外 ,对 被 截获 通信 的 解密 也 可 在 监听 的 有 效 
期 内 有 一 个 时 间 延 迟 。 这 种 时 间 延 迟 对 有 些 案情 极为 重要 ,如 监听 进行 绑架 的 犯罪 分 子 
或 监听 有 计划 的 恐怖 活动 。 


5.4 秘密 分 割 





秘密 分 割 是 将 某 一 密码 信息 分 成 n 片 (ki;,i 二 1,2,…,n) 给 nn 个 人 ,只 有 当 这 个 人 
同时 给 出 自己 的 秘密 分 片 时 ,才能 恢复 信息 。 它 与 秘密 共享 具有 相似 性 ,但 是 没有 秘密 共 
享 的 要 求 高 ,也 很 容易 实现 。 在 很 多 场合 ,为 了 避免 权力 过 于 集中 ,必须 将 秘密 分 割 开 来 
让 多 人 掌管 。 只 有 达到 一 定数 量 的 人 同时 合作 ,才能 恢复 这 个 秘密 。 这 就 是 密码 学 中 的 
门限 方案 。 

门限 方案 : 秘密 * 被 分 割 成 个 部 分 信息 ,每 一 部 分 信息 称 为 一 个 子 密 钥 , 每 个 子 密 
钥 都 由 不 同 的 参与 者 掌握 ,使 得 只 有 个 或 & 个 以 上 的 参与 者 共同 努力 才能 重 构 信 息 ;; 
否则 无 法 重 构 消 息 ;。 这 种 方案 就 称 为 (k,n) 门 限 方案 ,k 称 为 方案 的 门限 值 。 


541 秘密 分 割 门限 方案 


在 导弹 控制 发 射 、 重 要 场所 通行 检验 等 情况 下 ,通常 必须 由 两 人 或 多 人 同时 参与 才能 
生效 ,这 时 都 需要 将 秘密 分 给 多 人 掌管 ,而 且 必 须 有 一 定数 量 的 掌管 秘密 的 人 同时 到 场 才 
能 恢复 这 一 秘密 。 由 此 ,引入 门限 方案 (Threshold Schemes) 的 一 般 概念 。 

定义 5-1 设 秘密 s 被 分 成 n 个 部 分 信息 ,每 一 部 分 信息 称 为 一 个 子 密 钥 或 影子 
(Share or Shadow) ,由 一 个 参与 者 持 有 ,使 得 : 

Q@ 由 个 或 多 于 上 个 参与 者 所 持 有 的 部 分 信息 可 重 构 ; 。 

@ 由 少 于 尺 个 参与 者 所 持 有 的 部 分 信息 无 法 重 构 ;。 

则 称 这 种 方案 为 (k,n) 秘 密 分 割 门限 方案 ,k 称 为 方案 的 门限 值 。 

如 果 一 个 参与 者 或 一 组 未 经 授权 的 参与 者 在 猜测 秘密 * 时 ,并 不 比 局 外 人 猜 秘密 时 
有 优势 , 即 : 

@ 由 少 于 & 个 参与 者 所 持 有 的 部 分 秘密 信息 得 不 到 秘密 * 的 任何 信息 , 则 称 这 个 方 
案 是 完善 的 , 即 (&,n) 秘 密 分 割 门限 方案 是 完善 的 。 

为 了 可 靠 性 也 要 适当 控制 2 一 & 的 值 ,以 免 该 值 太 小 而 使 得 秘密 的 恢复 由 于 有 大 于 
n 一 k 个 人 员 不 能 到 场 而 无 法 恢复 。 所 以 (k,n) 门 限 的 安全 性 在 于 既 要 防止 少 于 k 个 人 合 
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作 恢 复 秘密 ,又 要 防止 对 上 个 人 的 攻击 而 阻碍 秘密 的 恢复 。 
下 面 介 绍 最 具 代 表 性 的 秘密 分 割 门限 方案 。 


542 Shanir 门限 方案 


Shamir 门限 方案 是 典型 的 秘密 分 割 门限 方案 。 下 面 详 细 论述 该 方案 的 原理 。 

Shamir 门限 方案 基于 多 项 式 的 Lagrange 插值 公式 。 插 值 是 数学 分 析 中 的 一 个 基本 
问题 。 

已 知 一 个 函数 p(xz) 在 k 个 互 不 相同 的 点 的 函数 值 pg (x;) (i 二 1,2,…,k) ,寻求 一 个 满 
足 f(zi)= 二 g(xzi) (i 二 1,2,…,k) 的 函数 f(x) 来 通 近 g(x) ,f(z) 称 为 p(x) 的 插值 函数 ,也 
称 插值 多 项 式 。 

已 知 p(x) 在 个 互 不 相同 的 点 的 函数 值 p (zi) (i 二 1,2,…,k), 可 构造 上 一 1 次 
Lagrange 插值 多 项 式 : 


f(x) = >ec0 音 工 


i=1 Ti Xl 
zj 


也 可 认为 是 已 知 & 一 1 次 多 项 式 f(z) 的 个 互 不 相同 的 点 的 函数 值 f(x;) (i==1， 
2,…,k) ,构造 多 项 式 f(x)。 

车 把 密 钥 s 取 作 了 (0) ,n 个 子 密 钥 取 作 (xi) (i 二 1,2,…,n) ,那么 利用 其 中 的 任意 
& 个 子 密 钥 可 重 构 f(x), 从 而 可 得 密 钥 ;。 

这 种 门限 方案 也 可 按 如 下 更 一 般 的 方式 来 构造 : 

@ 设 GF(g) 是 一 有 限 域 ,其 中 g 是 一 个 大 素数 ,满足 g 三 n 十 1。 

@ 秘密 s 是 在 GF(g)\{0} 上 均匀 选取 的 一 个 随机 数 , 表 示 为 s sxGF(g)\{0})。 

@ 4 一 1 个 系数 au ,az ，… ,ai,… sar-1 的 选取 也 满足 a; GF(qg)\{0} (i=1,2,…,k 一 1)。 

@ 在 GF(g) 上 构造 一 个 一 1 次 多 项 式 F(z) 一 ao 十 az 十 … 十 at-izt 1!。 

@@ n 个 参与 者 记 为 Pi,P;，,…,P;,….P,.,P; 人 

@ 如 果 任 意 & 个 参与 者 Pi ,P; ，…,P; ,…,P; (1 记过 i 过 …i 达 …<i<n) 要 想 
得 到 秘密 ,可 使 用 {Gi,,fGi0))11==1,2,… ,构造 如 下 的 线性 方程 组 : 





ae 十 aa) 十 …… 十 acG) 生 一 Ga) 
ao 十 ai(iz) 十 … 十 ari(iz) 生 :一 大 Gaiz) 
ao 十 aCi) 十 十 am(i)"! = f(i) 











因为 (1 二 1,2,…,k) 均 不 相同 ,所 以 可 由 Lagrange 插值 公式 构造 如 下 多 项 式 : 


f(z) = pi 三 一 (mod g) 
j=1 j 1 
1#j 





从 而 可 得 秘密 s== 了 (0)。 

然而 参与 者 仅 需 知道 f(x) 的 常数 项 f(0) 而 无 须知 道 整个 多 项 式 f(x), 所 以 令 z==0， 
仅 需 以 下 表达 式 就 可 以 求 出 ;: 
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二 CD 在 (mod g) 
j=1 =1 人 
1 

如 果 & 一 1 个 参与 者 想 获得 秘密 ,他 们 可 构造 出 由 一 1 个 方程 构成 的 线性 方程 组 ， 
其 中 有 个 未 知 量 。 对 GF(g) 中 的 任 一 值 so, 可 设 f(0) 二 5, 这样 可 得 第 个 方程 ,并 由 
Lagrange 插值 公式 得 出 f(x)。 因 此 对 每 一 s。eGF(g) 都 有 一 个 唯一 的 多 项 式 满足 方程 
组 。 所 以 已 知 & 一 1 个 子 密 钥 得 不 到 关于 秘密 * 的 任何 信息 ,因此 这 个 方案 是 完善 的 。 

例 5-2 ”Shamir 门限 方案 示例 。 设 ==3,n 二 5,g 二 19,s 二 11, 随 机 选取 a 二 2,as 二 7， 
得 多 项 式 为 ， 


in 


f(x) 一 (7z2 十 2z 十 11) mod 19 























分 别 计算 
7FGD) = (7xl1+2Xx1+ll mod 19=1 
f(2) = (7X2 十 2X2 十 11) mod 19 一 5 
f(3) = (7X32 十 2X3 十 11) mod 19 一 4 
f(4) = (7X4 4+2X4+11) mod 19=17 
f(5) =(7X5+2X5+11) mod 19 一 6 
得 5 个 子 密 钥 。 
如 果 知道 其 中 的 3 个 子 密 钥 f(2)==5,f(3) 二 4,f(5) 二 6, 就 可 重 构 出 f(x): 
5X $= mod 19 一 5X (37! mod 19)(z 一 3)(z 一 5) 
=5X13X(z 一 3)(z 一 5) 
4X SP mod 19 一 4X(( 一 2 mod 19)(z 一 2)(z 一 5) 
=4X9X(z 一 2)(z 一 5) 
6X FINE 3 mod 19 一 6X (67! mod 19)(z 一 2)(z 一 3) 
=6X16X(z 一 2)(z 一 3) 
所 以 
(z) 一 [65(z 一 3)(z 一 5) 十 36(z 一 2)(z 一 5) 十 96(z 一 2)(z 一 3)] mod 19 
一 7z 十 2z 十 11 


从 而 得 秘密 为 ;二 11。 
543 基于 中 国 剩余 定理 的 门限 方案 


设 澡 二 mz 二 … 二 m, 是 n 个 大 于 1 的 整数 ,满足 (mi ,mj) 二 1 (对 任意 的 i.j,i 才 和 
mimawemg 福 Mmm-1…1nw_k+2( 注 意 这 里 的 条 件 mm 过 ms 二 … 达 m, 是 必需 的 ,在 此 条 件 下 ， 
an 广 mwmw-1…mw-r+2 表 明 最 小 的 & 个 数 的 乘积 也 比 最 大 的 一 1 个 数 的 乘积 大 ， 
从 而 使 得 ma ,ms ,… ,rm 中 任意 & 个 数 的 乘积 都 不 比 mizzz…zax 小 )。 

又 设 * 是 秘密 数据 ,满足 : 

mam Ma kt < S < mm2 me 
这 意味 着 对 任意 个 数 的 乘积 T,s 二 s mod TT, 而 任意 的 一 1 个 数 的 乘积 RR, 则 s 
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mod R 在 数值 上 不 等 于 ;。 
计算 M 二 zmzw…missi 二 5s(mod mi) (i 二 1,2,…,n) ,以 (5;,m;,M) 作 为 一 个 子 密 钥 ， 
集合 人 Csi,mi ,MD));=1~, 即 构成 了 一 个 (k,n) 门 限 方案 。 
这 是 因为 ,在 k 个 参与 者 中 ,每 个 i,j 计算 : 
Mj;=M/ms, Nj;= Mi (modms), ys = ssMaNs 
结合 起 来 根据 中 国 剩余 定理 可 求 得 : 


k 大 
5 一 Dy (mod I ms ) 
i=1 i=1 


由 于 任意 个 或 & 个 以 上 的 模 数 相 乘 都 比 s 大 ,它们 恢复 出 来 的 必然 相同 ,而 少 于 
& 个 参与 者 则 不 行 。 


5 5 消息 认证 





551 消息 认证 的 基本 概念 


消息 认证 就 是 验证 所 收 到 的 消息 确实 来 自 真正 的 发 送 方 且 是 未 被 修改 的 消息 ,也 可 
以 验证 消息 的 顺序 和 及 时 性 , 即 消息 认证 是 使 接收 者 能 够 检验 收 到 的 消息 是 否 真实 的 方 
法 。 因 此 ,消息 认证 具有 三 层 含义 : 一 是 检验 消息 来 源 的 真实 性 , 即 对 消息 的 发 送 者 进行 
身份 认证 ,确定 信息 的 发 送 者 是 真 的 而 不 是 冒充 的 ; 二 是 检验 消息 的 完整 性 , 即 验证 消息 
在 传送 或 存储 过 程 中 是 否 被 算 改 、 删 除 或 插入 等 ; 三 是 检验 消息 的 时 效 性 , 即 验 证 消息 在 
传送 过 程 中 是 否 被 重 传 或 延迟 等 。 

消息 认证 实际 上 是 对 消息 本 身 产生 一 个 元 余 的 信息 一 一 消息 认证 码 (Message 
Authentication Code, MAC)。 消 息 认 证 码 是 利用 密 钥 对 要 认证 的 变 长 消息 和 收发 双方 
共享 的 密 钥 的 一 个 函数 值 产生 的 带 密 钥 的 消息 摘要 函数 , 它 对 于 要 保护 的 信息 来 说 是 唯 
一 的 和 一 一 对 应 的 ,可 以 有 效 地 保护 消息 的 完整 性 以 及 实现 发 送 方 消息 的 不 可 抵赖 性 和 
不 能 伪造 性 。 消 息 认 证 码 的 安全 性 取决 于 两 个 方面 : 采用 的 加 密 算法 , 即 利用 公 钥 加 
密 算法 对 块 加 密 ,以 保证 消息 的 不 可 抵赖 性 和 完整 性 ; @ 待 加 密 数 据 块 的 生成 方法 。 

当 需 要 进行 消息 认证 时 , 仅 有 消息 作为 输入 是 不 够 的 ,需要 加 入 密 钥 &, 消息 认证 码 
MAC 是 与 这 个 密 钥 k 相关 的 单 向 杂 次 函数。 消息 认证 码 通 常 表示 为 : 

MAC = C.(M) 

其 中 ,M 是 长 度 可 变 的 消息 ,k 是 收 \ 发 双方 共享 的 密 钥 ,函数 值 Ci (M) 是 定 长 的 认证 码 ， 
即 密码 校 验 和 。 


552 消息 加 密 认 证 


1 在 对 称 加 密 体制 下 

在 对 称 加 密 体制 下 的 消息 加 密 认 证 如 图 5-15 和 图 5-16 所 示 。 由 于 攻击 者 不 知道 密 
钥 &, 他 也 就 不 知道 如 何 改变 密 文 中 的 信息 位 才能 在 明文 中 产生 预期 的 改变 。 
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5-15 在 对 称 加 密 体制 下 的 消息 加 密 认 证 


/ * 


Ei(M) 
图 5-16 在 对 称 加 密 体制 下 的 消息 加 密 认证 方式 2 

接收 方 可 以 根据 解密 后 的 明文 是 否 具 有 合理 的 语法 结构 来 进行 消息 认证 。 但 有 时 发 
送 的 明文 本 身 并 没有 明显 的 语法 结构 或 特征 ,例如 二 进 制 文件 ,因此 很 难 确定 解密 后 的 消 
息 就 是 明文 本 身 。 

2 在 公 钥 加 密 体 制 下 

在 公 钥 加 密 体 制 下 的 消息 加 密 认 证 如 图 5-17 所 示 。 由 于 只 有 A 有 用 于 产生 Esk、(M) 
的 密 钥 ,所 以 此 方法 提供 认证 。 
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(a) 普通 加 密 
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图 5-17 在 公 钥 加 密 体制 下 的 消息 加 密 认 证 
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553 Hesh 函数 


密码 学 上 的 Hash 函数 也 称 杂 凑 函 数 或 报 文 摘要 函数 等 ,是 一 种 将 任意 长 度 的 消息 
m 压缩 (或 映射 ) 到 某 一 固定 长 度 的 消息 摘要 瓦 (zz) 的 函数 。 瓦 (m) 也 称 消息 闷 的 指纹 。 
一 个 Hash 函数 是 一 个 多 对 一 的 映射 。 


1. Hesh 函数 的 分 类 

Hash 函数 按 是 否 需要 密 钥 可 分 为 以 下 两 类 。 

O@ 不 带 密 钥 的 Hash 函数 , 它 只 有 一 个 被 通常 称 为 消息 的 输入 参数 。 

@ 带 密 钥 的 Hash 函数 , 它 有 两 个 不 同 的 输入 ,分 别称 为 消息 和 密 钥 。 

按 设计 结构 , 散 列 算法 可 以 分 为 三 大 类 : 标准 Hash、 基 于 分 组 加 密 Hash 和 基于 模 数 
运算 Hash。 

标准 Hash 函数 有 两 大 类 : MD 系列 的 MD4、MD5、HAVAI. RIPEMD. RIPEMD- 
160 等 ; SHA 系列 的 SHA-1、SHA-256、SHA-384、SHA-512 等 ,这 些 Hash 函数 体现 了 
目前 主要 的 Hash 函数 设计 技术 。 


2 Hesh 函数 的 性 质 

从 应 用 需求 上 来 说 ,Hash 函数 互 必须 满足 以 下 性 质 。 

Q@ H 能 够 应 用 到 任何 大 小 的 数据 块 上 。 

@ 电能 够 生成 大 小 固定 的 输出 。 

@ 对 任意 给 定 的 x,H(z) 的 计算 相对 简单 ,使 得 硬件 和 软件 的 实现 可 行 。 

从 安全 意义 上 来 说 ,Hash 函数 H 应 满足 以 下 特性 。 

@D 对 任意 给 定 的 散 列 值 六 ,找到 满足 互 (z) 一 六 的 z 在 计算 上 是 不 可 行 的 。 

@ 对 任意 给 定 的 找到 满足 电 (z) 二 HH(y) 而 xz 闫 y 的 对 (z,y) 在 计算 上 是 不 可 行 的 。 

@ 要 发 现 满足 H(z) 二 HH(y) 而 xz 隆 y 的 对 (z,y) 是 计算 上 不 可 行 的 。 

满足 以 上 前 两 个 性 质 的 杂 普 函数 称 为 弱 Hash 函数 ,或 称 杂凑 函数 妃 (z) 为 弱 无 碰撞 
的 ; 如 果 还 满足 第 @ 个 性 质 , 就 称 为 强 Hash 函数 ,或 称 杂 凑 函 数 有 (x) 为 强 无 碰撞 的 。 

第 外 个 特性 是 单 向 性 的 要 求 ,通常 也 称 抗原 像 性 。 第 @ 个 特性 是 弱 无 碰撞 性 ,也 称 抗 
第 二 原 像 性 ,目的 是 防止 伪造 ,即将 一 份 报 文 的 指纹 伪造 成 男 一 份 报 文 的 指纹 在 计算 上 是 
不 可 行 的 。 第 加 个 特性 是 强 无 碰撞 性 ,也 称 抗 碰撞 性 , 它 防止 对 杂凑 函数 实施 自由 起 始 碰 
撞 攻 击 或 称 生日 攻击 。 

杂凑 函数 各 特性 之 间 的 关系 如 下 。 

性 质 5-1 杂凑 函数 的 强 无 碰撞 性 ( 抗 碰 撞 性 ) 隐 含 弱 无 碰撞 性 ( 抗 第 二 原 像 性 ) 。 

证 明 5-1 假设 杂 竣 函数 H(z) 不 具有 弱 无 碰撞 性 , 则 对 于 一 个 xz, 就 可 以 找到 一 个 
y( 隆 7X) ,使 得 感 (z) 一 囊 (y) ,这 时 (z,y) 是 不 同 输入 杂凑 为 同一 输出 ,而 这 与 强 无 碰撞 性 矛盾 。 


3 常用 Hesh 算 法 

(1) MD5 Hash 算法 

MD4 是 MD5 杂凑 算法 的 前 身 , 由 Ronald Rivest 于 1990 年 10 月 作为 RFC 提出 ， 
1992 年 4 月 公布 的 MD4 的 改进 (RFC 1320,1321) 称 为 MD5 。 

MD5 算法 的 输入 消息 可 任意 长 ,压缩 后 输出 为 128b。MD5 算法 框图 如 图 5-18 所 示 。 
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填充 (1 ~ 512b) 消 息 长 度 (K mod 2%) 
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一 一 512b —m—— 512b 一 一 | 一 一 5l2b 一 一 一 一 5l2b 一 一 
而 万 | h a 
$12 $12 512 S12 
RG) (Ge) am) Ge) 
IV CV CVs CV 
128b 
摘要 
图 5-18 MD5 算法 框图 
MD5 算法 的 步骤 如 下 。 


a 分 组 填充 ,如 图 5-19 所 示 。 














消息 | 100…0 64b 




















Lx512b 加 
图 5-19 MD5 算法 分 组 填充 
如 果 消 息 长 度 大 于 2 , 则 取 其 对 2 的 模 。 


执行 完 后 ,消息 的 长 度 为 512 的 倍数 ( 设 为 L 倍 ), 则 可 将 消息 表示 为 分 组 长 为 512 的 
一 系列 分 组 Yu ,Yi ,…,Yr-i ,而 每 一 分 组 又 可 表示 为 16 个 32b 长 的 字 , 这 样 消息 中 的 总 
字数 为 N= 二 LX16, 因 此 消息 又 可 按 字 表示 为 M[0,…,N 一 1]。 
@ 缓冲 区 初始 化 。 
Hash 函数 的 中 间 结 果 和 最 终结 果 保 存 于 128 位 的 缓冲 区 中 ,缓冲 区 用 32 位 的 寄存 
器 表示 。 可 用 4 个 32b 字 表 示 : A、B、.C、D。 初 始 存 数 以 十 六 进 制 表示 为 : 
A = 01234567 
B = 89ABCDEF 
C= FEDCBA98 
D = 76543210 
回 Hun; 运算 。 
以 分 组 为 单位 对 消息 进行 处 理 每 一 分 组 Y,(g 二 0,…,L 





1) 都 经 一 压缩 函数 有 vos 处 
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理 。Hwos 是 算法 的 核心 ,如 图 5-20 所 示 , 其 中 又 有 4 轮 处 理 过 程 。 
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图 5-20 Hwos 运 算 示 意图 


Hus 的 4 轮 处 理 过 程 结构 一 样 ,但 所 用 的 逻辑 函数 不 同 , 分 别 表示 为 F.G、H、1。 每 
轮 的 输入 为 当前 处 理 的 消息 分 组 Y, 和 缓冲 区 的 当前 值 A、.B、C、D, 输 出 仍 放 在 缓冲 区 中 
以 产生 新 的 A、B、C、D。 
每 轮 又 要 进行 16 步 迭 代 运 算 ,4 轮 共 需 64 步 完成 。 
第 四 轮 的 输出 与 第 一 轮 的 输入 相 加 得 到 最 后 的 输出 。 
压缩 函数 中 的 一 步 迭 代 过 程 如 图 5-21 所 示 。 
ae 一 pH+HCLSs (atg(b,c.d}+X [K+T [i]) 





























A B 心 D 
中 ~ 一 
YI 一 一 个 
Ti—OD 
| 
A B C D 























图 5-21 压缩 函数 中 的 一 步 迭 代 过 程 
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其 中 基本 逻辑 函数 g 定义 如 表 5-1 所 示 。 
表 5-1 基本 逻辑 函数 g 定义 

















轮 基本 逻辑 函数 g(b,c,d) 
1 Flb,csd) (BAOV (BE Ma) 
2 Glb,csd) (ADV cAa) 
3 五 (bcyd) 05 四 < 由 4 
通 I(bscsd) cBGVAd) 





MD5 的 输出 为 128b, 若 采用 纯 强 力 攻击 寻找 一 个 消息 具有 给 定 Hash 值 的 计算 困难 
性 为 22 ,用 每 秒 可 试验 1 000 000 000 个 消息 的 计算 机 需 时 1.07X102 年 。 
采用 生日 攻击 法 , 找 出 具有 相同 杂凑 值 的 两 个 消息 需 执 行 2* 次 运算 。 
如 果 两 个 输入 串 的 Hash 函数 的 值 一 样 , 则 称 这 两 个 串 是 一 个 碰撞 (Collision) 。 既 然 
是 把 任意 长 度 的 字符 串 变 成 固定 长 度 的 字符 串 , 所 以 , 必 有 一 个 输出 串 对 应 无 穷 多 个 输入 
串 ,碰撞 是 必然 存在 的 。 
2004 年 8 月 17 日 ,美国 加 利 福 尼 亚 州 圣 巴 巴 拉 正 在 召开 国际 密码 学 会 议 ,山东 大 学 
王小云 教授 公布 了 快速 寻求 MD5 算法 碰撞 的 算法 。 
(2) SHA 算法 
OO 算法 简介 。 
。 由 NIST 设计 。 
。 1993 年 成 为 联邦 信息 处 理 标准 (FIPS PUB 180)。 
。 基于 MD4 算法 ,与 之 非常 类 似 。 
。 输入 为 小 于 2%b 的 任意 消息 。 
。 分 组 512b 长 。 
。 输出 160b。 
@ 算法 描述 。 
。 消息 填充 : 与 MD5 完全 相同 。 
。 附加 消息 长 度 : 64b 长 度 。 
。 缓冲 区 初始 化 。 
A = 67452301 
B= EFCDAB89 
C= 98BADCFB 
D = 10325476 
E = C3D2E1FO0 
@ 分 组 处 理 ,如 图 5-22 所 示 。 
@ SHA-1 压缩 函数 ( 单 步 ), 如 图 5-23 所 示 。 
@@ SHA-1 的 基本 逻辑 函数 f, 如 表 5-2 所 示 , 其 中 人 、V .一 、 甸 分 别 表示 与 或 . 非 、 
异 或 4 个 逻辑 运算 。 
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图 5-22 分 组 处 理 示 意图 
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5-23 SHA-1 压缩 函数 示意 图 


148 





表 5-2 SHA 中 基本 逻辑 函数 的 定义 

















轮 基本 函数 函数 值 

1 f1(B,C,D) (BAOV (BAD) 

2 fi(B,C,D) B@COD 

3 fi(B,C,D) (BAOV (BAD)V (CAD) 
4 fi(B,C,D) B@COD 





@W,: 从 当前 512 位 输入 分 组 导出 的 32 位 字 。 
如 图 5-24 所 示 , 下 面 说 明 如 何 由 当前 的 输入 分 组 (512b) 导 出 W,(32b)。 前 16 个 值 


( 即 Wo ,Wi ,Wis) 直 接 取 为 输入 分 组 的 16 个 相应 的 字 ,其 余 值 ( 即 We ,Wit ，… Wo) 
取 为 : 


W, = CLS (Wi BD Wu DB Ws BW) 


一 512b -— WoW We Wa WW Ws Ws Wes Wes Wy! Wre 


Ws | 





























CLSi 











m | m 








Wy 








5-24 W,: 从 当前 512 位 输入 分 组 导出 的 32 位 字 示 意图 


与 MD5 比较 ,MD5 直接 用 一 个 消息 分 组 的 16 个 字 作 为 每 步 迭 代 的 输入 ,而 SHA 则 
将 输入 分 组 的 16 个 字 扩 展 成 80 个 字 以 供 压缩 函数 使 用 ,从 而 使 得 寻找 具有 相同 压缩 值 
的 不 同 的 消息 分 组 更 为 困难 。 

Ok: 加 法 常量 ,如 表 5-3 所 示 。 

















表 5-3 加 法 常量 
步骤 十 六 进 制 
0 和 去 19 有 一 5A827999 
20<t<39 k,=6ED9EBAl 
40<t<59 k,=8F1BBCDC 
60<t1<79 太一 CA62C1D6 


(3) SHA 与 MD5 的 比较 

@ 抗 穷 举 搜索 能 力 。 

。 寻找 指定 Hash 值 ,SHA 为 O(21s ) ,MD5 为 O(212s ) 。 
。 生日 攻击 ,SHA 为 O(28) ,MD5 为 O(2%)。 

@ 抗 密码 分 析 攻 击 的 强度 ,SHA 似乎 高 于 MD5。 


mm 信息 安全 技术 EGG 


@ 速度 。SHA 较 MD5 慢 。 

@ 简捷 与 紧 臻 性。 描述 都 比较 简单 ,都 不 需要 大 的 程序 和 代 换 表 。 

(4) 其 他 Hash 算法 

@® MD4。 

。 MD4 使 用 3 轮 运算 ,每 轮 16 步 ; MD5 使 用 4 轮 运算 ,每 轮 16 步 。 

。 MD4 的 第 一 轮 没有 使 用 加 法 常量 ,第 二 轮 运算 中 每 步 迭 代 使 用 的 加 法 常量 相同 ， 
第 三 轮 运算 中 每 步 迭 代 使 用 的 加 法 常量 相同 ,但 不 同 于 第 二 轮 使 用 的 加 法 常量 ; 
MD5 的 64 部 使 用 的 加 法 常量 T[ 门 均 不 同 。 

。 MD4 使 用 3 个 基本 逻辑 函数 ,MD5 使 用 4 个 。 

。 MD5 中 每 步 迭 代 的 结果 都 与 前 一 步 的 结果 相 加 ,MD4 则 没有 。 

。 MD5 比 MD4 更 复杂 ,所 以 其 执行 速度 也 更 慢 ,Rivest 认为 增加 复杂 性 可 以 增加 
安全 性 。 

@ RIPEMD-160。 

。 欧 共 体 RIPE 项 目 组 提出 。 

。 输入 可 以 是 任意 长 的 报 文 ,输出 160 位 摘要 。 

。 对 输入 按 512 位 分 组 。 以 分 组 为 单位 处 理 。 

。 算法 的 核心 是 具有 10 轮 运算 的 模块 ,10 轮 运算 分 成 两 组 ,每 组 5 轮 , 每 轮 16 步 
迭代 。 


习题 5 





. 密 钥 管理 的 原则 是 什么 ? 
. 对称 密码 体制 的 密 钥 管理 策略 是 什么 ? 
.对称 密 钥 体制 下 密 钥 分 配 的 方法 有 哪些 ? 
. 公 钥 密码 体制 的 秘密 密 钥 的 分 配方 法 有 哪些 ? 
. 公 钥 密码 体制 的 公 钥 管理 策略 是 什么 ? 
. 公 钥 密 钥 体制 如 何 实施 公开 密 钥 的 分 配 ? 
.随机 数 在 密码 算法 中 的 使 用 有 哪些 ? 简 述 DES 的 输出 反馈 模式 产生 随机 数 的 工 
作 原 理 。 
8. 密 钥 托管 的 目的 是 什么 ? 简 述 密 钥 托管 的 工作 原理 。 
9. 在 公 钥 体制 中 ,每 一 用 户 U 都 有 自己 的 公开 钥 PKu 和 秘密 钥 SKu。 如 果 任 意 两 
个 用 户 A、B 按 以 下 方式 通信 ,A 发 给 B 消息 (Epr, (zz),A),B 收 到 后 ,自动 向 A 返回 消息 
(Epk，《m) ,B) 以 通知 A、B 确实 收 到 报 文 m。 
(1) 问 用 户 C 怎样 通过 攻击 手段 获取 报 文 m? 
(2) 若 通 信 格 式 变 为 : 
A 发 给 B 消息 : Erpr, (Esk, Gm) ,m, A) 
B 向 A 返回 消息 : Epk (Esx, (1m),m,B) 


A D- 
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me 第 5 章 密 钥 分 配 与 管理 mm 

这 时 的 安全 性 如 何 ? 分 析 A、B 这 时 如 何 相互 认证 并 传递 消息 m。 

10. DH 密 钥 交 换算 法 在 实施 时 易 受 中 间 人 攻击 , 即 攻击 者 截获 通信 双方 通信 的 内 
容 后 可 分 别 冒充 通信 双方 ,以 获得 通信 双方 协商 的 密 钥 。 详 细 分 析 攻 击 者 如 何 实施 攻击 。 

11. 在 DH 密 钥 交换 过 程 中 , 设 大 素数 p= 二 11,4a 二 2 是 p 的 本 原 根 。 

(1) 用 户 A 的 公开 钥 YA 一 9, 求 其 秘密 钥 XA 。 

(2) 设 用 户 B 的 公开 钥 Ys 二 3, 求 A 和 B 的 共享 密 钥 。 

12. 线性 同 余 算法 X,y1 一 (aX,) mod 24, 问 : 

(1) 该 算法 产生 的 数列 的 最 大 周期 是 多 少 ? 

(2) a 的 值 是 多 少 ? 

(3) 对 种 子 有 何 限 制 ? 

13. 在 Shamir 门限 方案 中 , 设 k=3,n 二 5,g 二 17,5 个 子 密 钥 分 别 是 8、7、10、0、11, 从 
中 任 选 3 个 ,构造 插值 多 项 式 并 求 秘密 数据 *。 
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数字 签名 技术 


数字 签名 是 信息 安全 的 一 个 非常 重要 的 分 支 , 它 在 大 型 网 络 安全 通信 中 的 密 钥 分 配 、 
安全 认证 ,公文 安全 传输 及 电子 商务 系统 中 的 防 否认 等 方面 具有 重要 人 作用。 本章 首先 介 
绍 数 字 签 名 技术 的 概念 ,然后 介绍 数字 签名 典型 算法 及 数字 签名 体制 与 应 用 技术 。 


6.1 数字 签名 的 基本 概念 





611 数字 签名 技术 概述 


在 人 们 的 工作 和 生活 中 ,许多 事物 的 处 理 需要 当事者 签名 。 例 如 ,政府 部 门 的 文件 、 
命令 ,证书 ,商业 的 合同 ,财务 的 凭证 等 都 需要 当事者 签名 。 签 名 起 到 确认 、 核 准 . 生 效 和 
负责 任 等 多 种 作用 。 在 传统 的 以 书面 文件 为 基础 的 事物 处 理 中 ,采用 书面 签名 的 形式 ,如 
手 签 .印章 .手印 等 。 一 种 完善 的 签名 应 满足 以 下 三 个 条 件 。 

JD 签名 者 事后 不 能 抵赖 自己 的 签名 。 

@ 任何 其 他 人 不 能 伪造 签名 。 

@ 如 果 当 事 人 双方 关于 签名 的 真 伪 发 生 争执 ,能 够 在 公正 的 仲裁 者 面前 通过 验证 签 
名 来 确认 其 真 伪 。 

手 签 .印章 .手印 等 书面 签名 基本 上 满足 以 上 条 件 ,因而 得 到 司法 部 门 的 支持 ,具有 一 
定 的 法 律 意义 。 实 际 上 ,签名 是 证 明 当 事 者 的 身份 和 数据 真实 性 的 一 种 信息 。 既 然 签名 
是 一 种 信息 ,因此 签名 可 以 用 不 同 的 形式 来 表示 。 在 以 计算 机 文件 为 基础 的 现代 事物 处 
理 中 ,应 采用 电子 形式 的 签名 , 即 数字 签名 (Digital Signature) 。 

在 当前 的 互联 网 环境 中 ,电子 商务 、 电 子 政务 、 电 子 金 融 等 系统 得 到 广泛 应 用 ,这 些 系 
统 的 网 络 安全 问题 也 成 为 国家 战略 发 展 部 署 环 节 的 一 部 分 ,因此 ,这 些 系统 中 的 数字 签名 
问题 显得 尤为 重要 和 突出 。 

数字 签名 利用 的 是 密码 技术 ,其 安全 性 取决 于 密码 体制 的 安全 程度 ,因而 可 以 获得 比 
书面 签名 更 高 的 安全 性 。 虽 然 利 用 传统 密码 和 公开 密 钥 密码 都 能 够 实现 数字 签名 ,但 是 
传统 密码 体制 难以 达到 与 书面 签名 一 样 的 效果 ,实用 性 不 强 ,一 般 很 少 采 用 。 

由 于 公开 密 钥 密码 既 可 以 用 于 数据 加 密 又 可 以 用 于 数字 签名 ,因此 ,公开 密 钥 体制 的 
出 现 使 数字 签名 技术 日 玻 成 熟 , 现 已 得 到 普遍 应 用 。 公 开 密 钥 密码 使 用 起 来 安全 方便 ,这 
是 其 深 受 欢迎 的 主要 原因 之 一 。 但 是 公开 密 钥 密码 的 效率 比较 低 , 目 前 主要 用 于 数字 签 
名 或 者 作为 保护 传统 密码 的 密 钥 。 
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数字 签名 的 形式 是 多 种 多 样 的 ,例如 ,通用 数字 签名 、 仲 裁 数字 签名 、 不 可 否认 签名 、 
讶 签名、 群 签名 .门限 签名 等 ,完全 能 够 适合 各 种 不 同类 型 的 应 用 。 可 以 预计 ,数字 签名 在 
获得 法 律 支持 后 将 会 得 到 更 广泛 的 应 用 。 


612 数字 签名 技术 特点 


1 数字 签名 与 手书 签名 的 区 别 

(1) 包含 性 

传统 手书 签名 是 包含 在 文件 中 的 ,是 文件 的 一 部 分 。 在 签 一 个 支票 的 时 候 , 签 名 就 在 
支票 上 ,而 不 是 一 个 单独 的 文件 。 但 是 当 数字 签名 一 个 文件 时 ,把 签名 当 作 一 个 单独 的 文 
件 来 发 送 。 发 送 者 发 送 两 个 文件 : 信息 和 签名 。 接 收 者 也 接收 两 个 文件 ,并 且 要 证 实 签 
名 是 属于 假定 发 送 者 的 。 如 果 签 名 被 证 实 了 ,就 保存 信息 ,否则 就 拒绝 。 

(2) 验证 方法 

两 种 签名 的 第 二 种 区 别 就 是 验证 签名 的 方法 不 同 。 对 传统 签名 来 说 ,接收 者 接收 一 
个 文件 后 ,就 要 把 文件 上 的 签名 和 档案 上 的 签名 进行 对 比 。 如 果 相 同 , 文 件 就 是 可 信和 的 。 
接收 者 需要 有 一 个 档案 上 签名 的 副本 来 对 比 。 对 于 数字 签名 来 说 ,接收 者 接收 的 是 信息 
和 签名 。 任 何 地 方 都 不 会 在 有 这 个 签名 的 副本 。 接 收 者 必须 使 用 一 种 验证 技术 来 验证 信 
息 和 签名 ,以 证 实 其 真实 性 。 

(3) 关系 

对 于 传统 签名 来 说 ,签名 和 文件 通常 是 一 对 多 的 关系 。 某 人 可 以 用 一 个 签名 去 签 多 
个 文件 。 对 于 数字 签名 来 说 ,签名 和 信息 是 一 对 一 的 关系 。 每 一 个 信息 拥有 它 自 己 的 签 
名 ,一 个 信息 的 签名 不 能 用 在 另 一 个 信息 上 。 如 果 Bob 相继 接收 两 个 来 自 Alice 的 信息 ， 
那 他 就 不 能 用 第 一 个 信息 的 签名 来 验证 第 二 个 。 每 一 个 信息 都 需要 一 个 新 的 签名 。 

(4) 二 重 性 

两 种 签名 的 另 一 个 区 别 是 一 种 称 为 二 重 性 的 性 质 。 在 传统 签名 中 ,已 签名 文件 的 副 
本 可 以 和 档案 中 的 原始 签名 相 区 别 。 在 数字 签名 中 ,除了 时 间 因 素 ( 如 时 间 戳 ) 以 外 ,在 文 
件 上 没有 这 种 区 别 。 例 如 ,假定 Alice 发 送 一 个 文件 ,指示 Bob 向 Tom 付款 。 如 果 Tom 
拦截 了 这 个 信息 和 签名 ,他 就 可 以 重 放 这 一 信息 ,以 便 再 次 从 Bob 那里 得 到 付款 。 


2 数字 签名 的 性 质 

数字 签名 体制 提供 了 一 种 鉴别 方法 ,以 解决 如 下 问题 。 

@ 伪造 , 即 接收 者 伪造 一 份 文件 ,声称 是 对 方 发 送 的 。 

@ 抵赖 , 即 发 送 者 或 接收 者 事后 不 承认 自己 发 送 或 接收 过 文件 。 

@ 冒充 , 即 网 上 的 某 个 用 户 冒 充 另 一 个 用 户 发 送 或 接收 文件 。 

@ 自 改 , 即 接收 者 对 收 到 的 文件 进行 局 部 的 算 改 。 

根据 数字 签名 需要 解决 的 问题 ,其 应 该 具有 如 下 性 质 。 

@ 能 够 验证 签名 产生 者 的 身份 ,以 及 产生 签名 的 日 期 和 时 间 。 

@ 能 用 于 证 实 被 签 消息 的 内 容 。 

@ 数字 签名 可 由 第 三 方 验证 ,从 而 能 够 解决 通信 双方 的 争议 。 
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由 此 可 见 , 数 字 签 名 具有 认证 功能 。 为 实现 上 述 三 条 性 质 , 数 字 签 名 应 满足 以 下 
要 求 。 

Q 签名 的 产生 必须 使 用 发 送 方 独 有 的 一 些 信息 以 防伪 造 和 否认 。 

@ 签名 的 产生 应 较为 容易 。 

@ 签名 的 识别 和 验证 应 较为 容易 。 

@ 对 已 知 的 数字 签名 构造 一 个 新 的 消息 或 对 已 知 的 消息 构造 一 个 假冒 的 数字 签名 
在 计算 上 都 是 不 可 行 的 。 


613 数字 签名 技术 原理 


一 般 数 字 签 名 的 格式 为 : 用 户 A 向 B 用 明文 送 去 消息 mm, 为 了 让 B 确信 消息 mm 是 A 
送 来 的 ,没有 算 改 ,可 在 m 的 后 面 附 上 固定 长 度 (例如 60b 或 128b) 的 数码 。B 收 到 后 ,可 
通过 一 系列 的 步骤 验证 ,然后 予以 确认 或 拒绝 消息 mm。 图 6-1 是 数字 签名 的 基本 过 程 。 





始 发 者 被 传输 报 广 i 
- - 目 久 
人 明文 人 





校 验 签名 
(ss ) 签名 Cg) 是 否 正 确 











始 发 者 的 私有 密 钥 始 发 者 的 公开 密 钥 
6-1 数字 签名 的 基本 过 程 


在 公 钥 体制 下 ,数字 签名 是 通过 一 个 单 向 函数 对 要 传送 的 报 文 进行 处 理 , 得 到 用 以 核 
实 报 文 是 否 发 生变 化 的 一 个 字母 数字 串 。 该 字母 数字 串 成 为 该 消息 的 消息 摘要 ,用 户 用 
自己 的 私 钥 对 消息 摘要 进行 加 密 , 然 后 信息 接收 者 使 用 信息 发 送 者 的 公 钥 对 附 在 原始 信 
息 后 的 数字 签名 进行 解密 后 获得 哈 希 摘要 ,并 通过 与 用 自己 收 到 的 原始 数据 产生 的 哈 希 
摘要 对 照 , 便 可 确信 原始 信息 是 否 被 筑 改 ,同时 也 保证 了 数据 传输 的 不 可 和 否认 性 。 

一 个 基于 公 钥 密码 学 的 数字 签名 方案 被 定义 为 一 类 算法 三 元 组 (Gen,Sig, Ver), 方 
案 中 有 两 方 参与 : 签名 者 Signer 与 验证 者 Verifiter。 

(1) 密 钥 生成 算法 Gen 

它 是 一 个 概率 多 项 式 时 间 算 法 ,由 系统 或 者 签名 者 执行 ,该 算法 以 系统 安全 参数 1* 
( 即 关 个 1) 为 输入 ,输出 密 钥 对 (Pk,Sk) ,其 中 Pk 称 为 签名 者 公开 密 钥 ,Sk 称 为 签名 者 私 
有 密 钥 , 即 Gen(1*) 一 (Pk,Sk)。 

(2) 签名 生成 算法 Sig 

它 同样 是 一 个 概率 多 项 式 时 间 算 法 ,由 签名 者 执行 ,该 算法 以 签名 者 私有 密 钥 Sk、 待 
签名 消息 mE 10,1)* 为 输入 ,输出 一 个 串 s。 此 时 称 * 为 签名 者 以 签名 者 私有 密 钥 Sk 对 
消息 m 所 做 的 签名 , 即 Sig(CSk ,zz) 一 >。 

(3) 签名 验证 算法 Ver 

它 是 一 个 确定 性 算法 ,由 验证 者 执行 ,该 算法 以 签名 公开 密 钥 Pk、 签 名 消息 对 (ms) 
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为 输入 ,输出 0 或 1, 即 Ver(Pk,m,s) 悦 {0,1)。 如 果 sE€ Sig(m) ,输出 1 说 明 签名 有 效 , 反 
之 ,输出 0 说 明 签名 无 效 。 

采用 上 述 数字 签名 方案 的 用 户 首先 采用 密 钥 生成 算法 生成 系统 的 密 钥 对 (Pk,Sk)， 
签名 者 将 公开 密 钥 Pk 公开 ,自己 安全 地 保管 私有 密 钥 Sk。 当 该 签名 者 需要 对 某 一 消息 
m 签名 时 ,他 采用 签名 算法 Sig 以 私有 密 钥 Sk 和 m 为 输入 ,得 到 消息 m 的 签名 ;二 
Sig(Sk,m) 。 签 名 生成 后 ,签名 者 将 签名 消息 对 (ms) 传 送 给 验证 者 ,验证 者 可 以 在 事后 
任 一 时 间 采 用 签名 验证 算法 Ver 以 签名 者 公开 密 钥 和 消息 签名 对 为 输入 ,来 验证 签名 是 
否 有 效 , 即 Ver(Pk,m,s) 一 {0,1}。 若 是 一 个 经 验证 有 效 的 签名 ,签名 者 就 要 对 该 签名 负 
责 , 因 为 在 签名 方案 安全 的 前 提 下 仅 有 签名 者 拥有 签名 私有 密 钥 ,因而 上 只 有 签名 者 才能 生 
成 某 消 息 的 有 效 签 名 。 


614 数字 签名 技术 分 类 


目前 已 有 多 种 数字 签名 技术 ,所 有 这 些 技术 可 归结 为 两 类 : 直接 方式 的 数字 签名 和 
具有 仲裁 方式 的 数字 签名 。 


1 直接 方式 的 数字 签名 

直接 方式 的 数字 签名 只 有 通信 双方 参与 ,并 假定 接收 方 知道 发 送 方 的 公开 密 钥 。 数 
字 签 名 的 形成 方式 可 以 用 发 送 方 的 密 钥 加 密 整 个 消息 或 加 密 消 息 的 杂凑 值 。 

如 果 发 送 方 用 接收 方 的 公开 密 钥 ( 公 钥 加 密 体制 ) 或 收发 双方 共享 的 会 话 密 钥 ( 单 钥 
加 密 体制 ) 对 整个 消息 及 其 签名 进一步 加 密 ,那么 对 消息 及 其 签名 更 加 提供 了 保密 性 。 而 
此 时 的 外 部 保密 方式 ( 即 数字 签名 是 直接 对 需要 签名 的 消息 生成 而 不 是 对 已 加 密 的 消息 
生成 ,否则 称 为 内 部 保密 方式 ) 则 对 解决 争议 十 分 重要 ,因为 在 第 三 方 处 理 争议 时 ,需要 得 
到 明文 消息 及 其 签名 才 行 。 如 果 采 用 内 部 保密 方式 ,那么 ,第 三 方 必须 在 得 到 消息 的 解密 
密 钥 后 才能 得 到 明文 消息 。 如 果 采 用 外 部 保密 方式 ,那么 ,接收 方 就 可 将 明文 消息 及 其 数 
字 签 名 存储 下 来 以 备 以 后 出 现 争议 时 使 用 。 

直接 方式 的 数字 签名 有 一 弱点 , 即 签名 的 有 效 性 取决 于 发 送 方 密 钥 的 安全 性 。 如 果 
发 送 方 想 对 自己 已 发 出 的 消息 予以 否认 ,就 可 声称 自己 的 密 钥 已 丢失 或 被 盗 , 认 为 自己 的 
签名 是 他 人 伪造 的 。 对 这 一 弱点 可 采取 某 些 行政 手段 ,在 某 种 程度 上 减弱 这 种 威胁 。 例 
如 ,要 求 每 一 被 签 的 消息 都 包含 有 一 个 时 间 戳 (日 期 和 时 间 ) ,并 要 求 密 钥 丢 失 后 立即 向 管 
理 机 构 报 告 。 这 种 方式 的 数字 签名 还 存在 发 送 方 的 密 钥 真 的 被 偷 的 危险 。 例 如 , 敌 方 在 
时 刻 了 偷 得 发 送 方 的 密 钥 ,然后 可 伪造 一 消息 ,用 偷 得 的 密 钥 为 其 签名 并 加 上 T 以 前 的 
时 刻 作为 时 间 戳 。 


2 具有 仲裁 方式 的 数字 签名 
上 述 直 接 方式 的 数字 签名 所 具有 的 威胁 都 可 通过 使 用 仲裁 者 得 以 解决 。 和 直接 方式 
的 数字 签名 一 样 ,具有 仲裁 方式 的 数字 签名 也 有 很 多 实现 方案 ,这 些 方案 都 按 以 下 方式 运 
行 : 发 送 方 X 对 发 往 接收 方 Y 的 消息 签名 后 ,将 消息 及 其 签名 先 发 给 仲裁 者 A,A 对 消 
息 及 其 签名 验证 完 后 ,再 连同 一 个 表示 已 通过 验证 的 指令 一 起 发 往 接收 方 Y。 此 时 由 于 
A 的 存在 ,X 无 法 对 自己 发 出 的 消息 予以 否认 。 在 这 种 方式 中 ,仲裁 者 起 着 重要 的 作用 并 
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应 取得 所 有 用 户 的 信任 。 

以 下 是 具有 仲裁 方式 的 数字 签名 的 几 个 实例 ,其 中 X 表示 发 送 方 ,Y 表示 接收 方 ,A 
是 仲裁 者 ,m 是 消息 。X 一 Y: m 表示 X 给 Y 发 送 明 文 ,有 H(m) 为 杂凑 函数 值 , | 表示 链接 。 

例 6-1 签名 过 程 如 下 : 

© Xx—>A: ml| Er [LIDx | H(m)]。 

© AY: Ey [IDx lm E:, LIDx | HGn) || TJ] 
其 中 ,E 是 单 钥 加 密 算法 ,kx 和 kay 分 别 是 X 与 A 共享 的 密 钥 和 A 与 Y 共享 的 密 钥 ， 
时 (mn) 是 m 的 杂 竣 值 ,T 是 时 间 稚 ,IDx 是 X 的 身份 。 

在 @ 中 ,X 以 Ei [LIDx | HH(m)] 作 为 自己 对 m 的 签名 ,将 m 及 签名 发 往 A。 在 @ 
中 ,A 将 从 X 收 到 的 内 容 和 IDx、T 一 起 加 密 后 发 往 Y, 其 中 的 荆 用 于 表示 向 Y 所 发 送 的 
消息 不 是 旧 消 息 的 重 放 。Y 对 收 到 的 内 容 解 密 后 ,将 解密 结果 存储 起 来 以 备 出 现 争 议 时 
使 用 。 

如 果 出 现 争议 ,Y 可 声称 自己 收 到 的 m 的 确 来 自 X, 并 将 Es [IDx | m | Es [IDx 1 
且 (mm)]] 发 给 A, 由 A 仲裁 ,A 由 kay 解 密 后 ,再 用 AxA 对 Eu LIDx | 电 (m)j 解 密 , 并 对 
有 (mm) 加 以 验证 ,从 而 验证 了 X 的 签名 。 

以 上 过 程 中 ,由 于 YY 不知 exA, 因 此 不 能 直接 检查 X 的 签名 ,但 Y 认为 消息 来 自 于 
A, 因 而 是 可 信 的 。 所 以 整个 过 程 中 ,A 必须 取得 X 和 YY 的 高 度 信 任 : 

Q@ X 相 信 A 不 会 泄露 exA ,并 且 不 会 伪造 X 的 签名 。 

@ Y 相信 A 只 有 在 对 Ey[IDx | mm | Es [IDx 上 HGm) 上 7] 中 的 杂凑 值 及 X 的 答 
名 验证 无 误 后 才 将 之 发 给 Y。 

@ X、Y 都 相信 A 可 公正 地 解决 争议 。 

如 果 A 已 取得 各 方 的 信任 , 则 X 就 相信 没有 人 能 伪造 自己 的 签名 ,Y 就 相信 X 不 能 
对 自己 的 签名 予以 否认 。 

本 例 中 mm 是 以 明文 形式 发 送 的 ,因此 未 提 及 保密 性 ,下 面 两 个 例子 可 提供 保密 性 。 

例 6-2 签名 过 程 如 下 : 

© X=>A: IDx | Er, Lm] | Er LIDx | HOE Lm])]。 

© A>Y: Ey LID | Es [Lm] En LIDx | HCE [Lm]) | TJ。 
其 中 ,sw 是 X、Y 共享 的 密 钥 ,其 他 符号 与 例 6-1 相同 。X 以 Ei [IDx 上 HCE [mJj)J 作 为 对 
mm 的 签名 ,与 由 kxy 加 密 的 明文 m 一 起 发 给 A。A 对 Ei [LIDx | H(E4, [mj)] 解 密 后 通 
过 验证 杂凑 值 以 验证 X 的 签名 ,但 始终 未 能 读 取 明文 m。A 验证 完 X 的 签名 后 ,对 XX 发 
来 的 消息 加 一 时 间 戳 ,再 用 kay 加 密 后 发 往 Y。 解 决 争议 的 方法 与 例 6-1 类 似 。 

本 例 虽然 提供 了 保密 性 ,但 还 存在 与 例 6-1 相同 的 一 个 问题 , 即 仲裁 者 有 可 能 和 发 送 
方 共 谋 以 否认 发 送 方 曾 发 过 的 消息 ,也 可 和 接收 方 共 谋 以 伪造 发 送 方 的 签名 。 这 一 问题 
可 通过 例 6-3 所 示 的 采用 公 钥 加 密 技术 得 以 解决 。 

例 6-3 签名 过 程 如 下 。 

OO X—A: IDx | Esxy [LIDx 中 Erpr, LEsk。 [zz]]]。 

© A 一 Y: 下 sk LIDx | Epr, LEsk。 [mJ]j | Tj.。 
其 中 ,SKA 和 SKx 分 别 是 A 和 X 的 私 钥 ,PKy 是 Y 的 公 钥 ,其 他 符号 与 前 两 例 相同 。 在 
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第 四 步 中 ,X 用 自己 的 私 钥 SKx 和 Y 的 公 钥 PKy 对 消息 加 密 后 作为 对 mm 的 签名 ,以 这 种 
方式 使 得 任何 第 三 方 (包括 A) 都 不 能 得 到 m 的 明文 消息 。A 收 到 X 发 来 的 内 容 后 ,用 X 
的 公 钥 可 对 Esc [IDx | Erx, [Es [m]]] 解 密 ,并 将 解密 得 到 的 IDx 与 收 到 的 IDx 加 以 比 
较 ,从 而 可 确信 这 一 消息 是 来 自 于 X 的 ( 因 只 有 X 有 SKx)。 第 @ 步 ,A 将 X 的 身份 IDx 
和 XX 对 mm 的 签名 加 上 一 时 间 蕉 后 , 青 用 自己 的 私 钥 加 密 发 往 Y。 

与 前 两 种 方案 相 比 ,第 三 种 方案 有 很 多 优点 。 首 先 ,在 协议 执行 以 前 ,各 方 都 不 必 有 
共享 的 信息 ,从 而 可 防止 共 谋 。 其 次 ,只 要 仲裁 者 的 私 钥 不 被 泄露 ,任何 人 包括 发 送 方 就 
不 能 发 送 重 放 的 消息 。 最 后 ,对 任何 第 三 方 (包括 A) 来 说 ,X 发 往 Y 的 消息 都 是 保密 的 。 


3 其 他 数字 签名 技术 

(1) 数字 摘要 的 数字 签名 

这 一 方法 要 使 用 单 向 检验 和 (One-Way Check Sum) 的 函数 CK(Checksum)。 若 明 
文 m 是 数字 摘要 , 则 计算 出 CK(m) ,这 种 数字 签名 同样 确认 了 : 报 文 是 由 签名 者 发 送 的 ; 
报 文 自 签发 到 收 到 为 止 未 被 修改 过 。 

其 实现 过 程 如 下 : 

QO@ 被 发 送 明 文 m 用 安全 杂 竣 算法 (SHA) 编 码 加 密 产生 128b 的 数字 摘要 。 

@ 发 送 方 用 自己 的 私有 密 钥 对 摘要 再 加 密 , 形 成 “数字 签名 ”。 

@ 将 原文 m 和 加 密 的 摘要 同时 传 给 对 方 。 

@ 接收 方 用 发 送 方 的 公 钥 Es 对 摘要 解密 ,同时 对 收 到 的 文件 用 SHA 编码 加 密 产 
生 摘 要 。 

@ 接收 方 将 解密 后 的 摘要 和 收 到 的 原 明 文 重新 与 SHA 加 密 产 生 的 摘要 进行 对 比 ， 
如 果 两 者 一 致 , 则 明文 信息 在 传送 过 程 中 没有 被 破坏 或 算 改 ,否则 反之 。 

(2) 电子 邮戳 

在 交易 文件 中 ,时 间 是 十 分 重要 的 因素 ,需要 对 电子 交易 文件 的 日 期 和 时 间 采 取 安 全 
措施 ,以 防 文件 被 伪造 或 筑 改 。 电 子 邮 戳 服 务 (Electronic Timestamp Server,ETS) 是 计 
算 机 网 络 上 的 安全 服务 项 目 , 由 专门 机 构 提供 。 电 子 邮 截 是 时 间 截 ,是 一 个 经 加 密 后 形成 
的 凭证 文档 , 它 包 括 三 个 部 分 。 

QO 需 加 邮 截 的 文件 的 摘要 (Digest) 。 

@ ETS 收 到 文件 的 日 期 和 时 间 。 

@ ETS 的 数字 签名 。 

时 间 惟 产生 过 程 为 : 用 户 首先 将 需要 加 时 间 截 的 文件 用 Hash 编码 加 密 形成 摘要 ， 
然后 将 该 摘要 发 送 到 DTS,DTS 在 加 入 收 到 文件 摘要 的 日 期 和 时 间 信 息 后 再 对 该 文件 加 
密 ( 数 字 签 名 ) ,最 后 送 回 用 户 。 由 Bellcore 创造 的 DTS 采用 下 面 的 过 程 : 加 密 时 将 摘要 
信息 归并 到 二 叉 树 的 数据 结构 ,再 将 二 叉 树 的 根 值 发 表 在 报纸 上 ,这 样 便 有 效 地 为 文件 发 
表 时 间 提 供 了 佐证 。 注 意 : 书面 签署 文件 的 时 间 是 由 签署 人 自己 写 上 的 ,而 数字 时 间 截 
则 不 然 , 它 是 由 认证 单位 DTS 加 上 的 :以 DTS 收 到 文件 的 时 间 为 依据 。 因 此 ,时 间 蕉 也 
可 作为 科学 家 的 科学 发 明文 献 的 时 间 认 证 。 

(3) 数字 证 书 

数字 签名 很 重要 的 机 制 是 数字 证 书 (Digital Certificate 或 Digital ID)。 数 字 证 书 又 
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称 数 字 凭 证 ,是 用 电子 手段 来 证 实 一 个 用 户 的 身份 和 对 网 络 资源 访问 的 权限 。 在 网 上 的 
电子 交易 中 ,如 双方 出 示 了 各 自 的 数字 凭证 ,并 用 它 来 进行 交易 操作 ,那么 双方 都 可 不 必 
为 对 方 身 份 的 真 伪 担 心 。 数 字 和 凭证 可 用 于 电子 邮件 .电子 商务 、 群 件 . 电 子 基 金 转移 等 各 
种 用 途 。 数 字 证 书 是 一 个 经 证 书 授权 中 心 数字 签名 的 包含 公开 密 钥 拥有 者 信息 以 及 公开 
密 钥 的 文件 。 最 简单 的 数字 证 书包 含 一 个 公开 密 钥 、 名 称 以 及 证 书 授权 中 心 的 数字 签名 。 
一 般 情 况 下 ,数字 证 书 中 还 包括 密 钥 的 有 效 时 间 发 证 机 关 ( 证 书 授权 中 心 ) 的 名 称 、 证 书 
的 序列 号 等 信息 ,证 书 的 格式 遵循 ITUT X. 509 国际 标准 。 

Q@ X. 509 数字 证 书包 含 的 内 容 如 下 。 

a. 证 书 的 版 本 信息 。 

b. 证 书 的 序列 号 ,每 个 证 书 都 有 一 个 唯一 的 证 书 序列 号 。 

c. 证 书 所 使 用 的 签名 算法 。 

d. 证 书 的 发 行 机 构 名 称 , 命 名 规则 一 般 采 用 X. 509 格式 。 

e. 证 书 的 有 效 期 ,现在 通用 的 证 书 一 般 采 用 UTC 时 间 格 式 , 它 的 计时 范围 为 1950 一 
2049。 

f. 证书 所 有 人 的 名 称 ,命名 规则 一 般 采 用 X. 509 格式 。 

g. 证 书 所 有 人 的 公开 密 钥 。 

h. 证 书 发 行者 对 证 书 的 签名 。 

@ 数字 证 书 的 三 种 类 型 如 下 。 

a. 个 人 凭证 (Personal ID): 它 仅 仅 为 某 一 个 用 户 提供 凭证 ,以 帮助 其 个 人 在 网 上 进 
行 安 全 交易 操作 。 个 人 身份 的 数字 凭证 通常 安装 在 客户 端的 浏览 器 内 ,并 通过 安全 的 电 
子 邮 件 (S/MIME) 来 进行 交易 操作 。 

b. 企业 (服务 器 ) 凭 证 (Server ID): 它 通常 为 网 上 的 某 个 Web 服务 器 提供 凭证 , 拥 
有 Web 服务 器 的 企业 可 以 用 具有 和 凭证 的 Web 站 点 (Web Site) 来 进行 安全 电子 交易 。 有 
凭证 的 Web 服务 器 会 自动 地 将 其 与 客户 端 Web 浏览 器 通信 的 信息 加 密 。 

c. 软件 (开发 者 ) 赁 证 (Developer ID): 它 通 常 为 因特网 中 被 下 载 的 软件 提供 凭证 ， 
该 凭证 用 于 微软 公司 的 Authenticode 技术 (合法 化 软件 ) 中 ,以 使 用 户 在 下 载 软件 时 能 获 
得 所 需 的 信息 。 

上 述 三 类 凭证 中 前 两 类 是 常用 的 凭证 ,第 三 类 则 用 于 比较 特殊 的 场合 。 大 部 分 认证 
中 心 提供 前 两 类 凭证 ,能 提供 各 类 凭证 的 认证 中 心 并 不 普遍 。 


E> RSA 数字 签名 算法 





利用 RSA 加 密 算法 构造 的 数字 签名 称 为 RSA 数字 签名 。 
621 RSA 数 字 签 名 算法 描述 


1 密 钥 生 成 算法 
这 里 密 钥 生 成 程序 和 密码 系统 中 的 程序 是 完全 相同 的 。 
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中 选取 两 个 大 素数 p、g, 计 算 : 

n=pXg, 9g(n)= (p—1)xX(g—1) 
@ 随机 选取 一 个 与 p(n) 互 素 的 整数 ,满足 : 

0<e<y(n, 且 gcdCe:p(z)) 一 1 
@ 用 扩展 的 欧 几 里 得 算法 求 e 模 gp(n) 的 逆 d, 即 : 

eXd=1 mod y(n) 
@ 签名 者 的 公 钥 : {n,e), 私 钥 : {p,qg,d), 即 : 用 户 A 将 公开 模 数 n 与 密 钥 e ,而 将 
p,q 与 密 钥 d 严格 保密 。 


2 签名 算法 
假设 用 户 A 对 消息 ME Z 进行 签名 ,需要 计算 : 
S= Sig(M) = M’ modn 

并 将 S 作为 A 对 消息 M 的 数字 签名 附 在 消息 M 后 。 

3 验证 算法 

假设 用 户 B 需要 验证 用 户 A 对 消息 M 的 签名 S。 用 户 B 计 算 : 

M = Smodn 

并 判断 M 是 否 与 M 同 余 , 如 果 两 个 值 是 同 余 的 , 即 M 三 M , 则 说 明 签名 S 确实 为 用 户 A 
所 产生 ; 否则 签名 S 可 能 是 由 攻击 者 伪造 生成 的 。 

可 以 将 RSA 验证 算法 完整 地 表述 如 下 : 

Ver(M,S) = (M = (S? mod n))?true:false 

其 中 ,Expression? true:false 表示 : 如 果 Expression 为 真 , 则 整个 表达 式 的 最 终结 果 为 
true, 和 否则 表达 式 的 最 终结 果 为 false。 

为 了 签名 的 安全 性 ,p 和 4g 的 取 值 必须 是 非常 大 的 。 

例 6-4 签名 示例 。 假 定 Alice 选择 p 二 823 和 g 二 953, 并 算出 n 二 784 319。g(n) 的 
值 是 782 544。 现 在 她 选择 e 二 313 并 算出 d= 二 160 009。 在 这 一 点 上 , 密 钥 生成 就 完成 了 。 
现在 设想 Alice 要 发 送 一 个 M 值 为 19 070 的 信息 给 Bob。 她 运用 其 私 钥 160 009 对 信息 
得 名: 

M:19 070 一 S = 19 070'%°% mod 784 319 = 210 625 mod 784 319 

Alice 发 送信 息 和 签名 给 Bob。Bob 接收 信息 和 签名 。 他 算出 : 

M’ = 210 62533 mod 784 319 = 19 070 mod 784 319 > MM modn 
因为 验证 了 Alice 的 签名 ,Bob 接收 了 信息 。 


622 ”RSA 数字 签名 的 安全 性 


对 于 RSA 的 数字 签名 方案 ,有 以 下 几 种 攻击 方式 。 
(1) 一 般 攻 击 
RSA 密码 的 加 密 运算 和 解密 运算 具有 相同 的 形式 ,都 是 模 竹 运 算 。 设 e。 和 是 用 户 
A 的 公开 密 钥 , 则 任何 人 都 可 以 获得 并 使 用 e 和 nn。 攻 击 者 首先 随意 选择 一 个 数据 y, 并 
用 A 的 公开 密 钥 计算 z, 即 zx 一 y mod n, 于 是 可 以 伪造 A 的 一 个 RSA 数字 签名 (z,y)。 
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x modn=(y) mod7 一 ye modn= ymodn 
所 以 用 户 A 对 zx 的 RSA 数字 签名 是 y。 由 于 yy 是 A 对 xz 的 一 个 有 效 签名 , 即 伪造 了 A 
的 签名 。 这 种 攻击 实际 上 的 成 功率 是 不 高 的 。 因 为 对 于 随意 选择 的 y, 通 过 加 密 运 算 后 
得 到 的 zx= 一 y mod n 具有 正确 语义 的 概率 是 很 低 的 。 
防范 措施 : 可 以 通过 认真 设计 数据 格式 或 采用 Hash 函数 与 数字 签名 相 结 合 的 方法 
阻止 这 种 攻击 。 
(2) 利用 已 有 的 签名 进行 攻击 
假设 攻击 者 想 要 伪造 A 对 Ms 的 签名 ,他 很 容易 找到 另外 两 个 数据 M 和 Ms ,使 得 
M;=M:M, mod n。 
他 设法 让 A 分 别 对 M， 和 M: 进行 签名 : 
Si = (Mi)* modn 
S, 一 (M:)4 modn 
于 是 攻击 者 就 可 以 用 S, 和 Ss 计算 出 A 对 Ms 的 签名 S;: 
(S1S;) mod n= [Mi)*(M,)*] mod n= (Mi)* modn = 5; 
防范 措施 : 对 付 这 种 攻击 的 方法 是 用 户 不 要 轻易 地 对 其 他 人 提供 的 随机 数据 进行 签 
名 。 更 有 效 的 方法 是 不 要 直接 对 数据 签名 ,而 应 对 数据 的 Hash 值 签名 。 
(3) 利用 签名 进行 攻击 获得 明文 
假设 攻击 者 截获 了 密 文 C, 由 C= 二 M' mod ”他 想 求 出 明文 M。 于 是 ,他 选择 一 个 小 
的 随机 数 ,并 计算 





z=r modn 
y= XC modn 


1 modn 


因为 z=r” mod nn, 所 以 xz? 二 (x)* mod ns,r 二 x mod n。 然 后 攻击 者 设法 让 发 送 者 对 
y 签名 ,于 是 攻击 者 又 获得 : 


二 


S=y modn 
攻击 者 计算 : 
tS modn=rm y modn=rm riC modn=C modn=M 

于 是 攻击 者 获得 了 明文 M。 

防范 措施 : 针对 这 种 攻击 方式 ,建议 用 户 不 要 轻易 对 其 他 人 提供 的 随机 数据 进行 签 
名 。 最 好 是 不 直接 对 数据 签名 ,而 是 对 数据 的 Hash 值 签名 。 

(4) 对 先 加 密 后 签名 方案 的 攻击 

假设 用 户 A 采用 先 加 密 后 签名 的 方案 把 M 发 送 给 用 户 B, 则 A 先 用 B 的 公开 密 钥 
ea 对 M 加密, 然后 用 自己 的 私 钥 ds 签名 。 再 设 A 的 模 为 na ,B 的 模 为 ns。 于 是 A 发 送 
如 下 数据 给 B: 

(M)’s mod neg)”s mod na 

如 果 B 是 不 诚实 的 , 则 他 可 以 用 Mi 抵赖 M, 而 A 无 法 争辩 。 因 为 ns 是 B 的 模 , 所 
以 BB 知道 ns 的 因子 分 解 ,于 是 他 就 能 计算 模 ns 的 离散 对 数 , 即 能 找 出 满足 M 一 M mod ns 
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的 工 , 然 后 他 公布 新 公开 密 钥 为 zes ,这 时 他 就 可 以 宣布 他 收 到 的 是 Mi 而 不 是 M。 

A 无 法 争辩 的 原因 在 于 下 式 成 立 : 

((Mi)™s mod ns) mod na = ((M)’s mod ng)’s mod na 

防范 措施 : 为 了 对 付 这 种 攻击 ,发 送 者 应 当 在 发 送 的 数据 中 加 入 时 间 戳 ,从 而 可 证 明 
是 用 es 对 M 加 密 ,而 不 是 用 新 公开 密 钥 res 对 Mi 加 密 。 另 一 种 对 付 这 种 攻击 的 方法 是 
经 过 Hash 处 理 后 再 签名 。 

这 里 介绍 了 4 种 对 RSA 数字 签名 的 攻击 方法 ,由 此 可 以 得 出 以 下 结论 。 

| 不 要 直接 对 数据 签名 ,而 应 对 数据 的 Hash 值 签名 。 

@ 要 采用 先 签名 后 加 密 的 数字 签名 方案 ,而 不 要 采用 先 加 密 后 签名 的 数字 签名 
方案 。 

例 6-5 攻击 示例 。 令 n 是 RSA 的 模 数 ,d 是 私 钥 。 设 k=[lgnj 是 的 比特 长 度 。 
选 定 正 整数 tt<A/2。 令 w==2', 且 消息 m 是 区 间 [1,n27' 一 1] 内 的 整数 。 设 元 余 函 数 民 
为 RGm) 二 m2'(R(m) 的 二 元 表示 中 最 低 1 位 都 是 0)。 对 大 多 数 n 而 言 ,R 都 是 非 乘 性 
的 。 然 而 针对 这 个 宛 余 函 数 ,选择 性 伪造 攻击 ( 它 更 为 严重 ) 是 可 能 发 生 的 ,现在 来 解释 这 
一 点 。 

假定 敌手 打算 伪造 消息 mx 的 签名 , 它 知道 而 不 知道 d4。 敌 手 实施 下 述 的 选择 消息 
攻击 来 获得 m 的 签名 。 对 nn 和 mm' 二 RGm) 二 m2' 二 mw 应 用 扩展 的 欧 几 里 得 算法 ,在 该 算 
法 的 每 一 步 , 计 算 整 数 项 z+,y 和 y 使 得 zn 十 ym = 二 r+。 可 以 证 明 : 只 要 w 过 Vn ,就 存在 y 
和 rr 使 得 |y| 过 n/w 和 rr 二 n/w。 车 y>0, 则 令 和 三 ro 和 ms 一 yo; 若 yy 一 0, 则 令 ;二 rw 
和 ms 二 一 yw。 两 种 情况 下 ,ms 和 ms 都 有 所 要 求 的 元 余 度 。 如 果 敌 手 已 经 获得 合法 签 
名 一 mid mod n 和 ss 二 ms mod 2 ,那么 就 可 以 计算 m 的 签名 : 


车 y>0, 计 算 ， 
d d a 
> ( 吾 ) | E 】 12a modn 
53 m3 yw 

车 y=0, 计 算 : 


d 可 d 
3 m rw 区 
> -一 ( ) ( ) m’* mod n 
一 53 (一 723 ) yw 了 


两 种 情况 下 敌手 都 获得 他 所 选 消息 的 签名 ,并 符合 所 要 求 的 元 余 度 。 这 个 例子 显示 
了 进行 选择 性 伪造 的 选择 消息 攻击 , 它 强调 了 慎重 选择 宛 余 函数 R 的 必要 性 。 


623 RSA 数 字 签名 的 应 用 


PGP(Pretty Good Privacy) 是 一 种 基于 Internet 的 保密 电子 邮件 软件 系统 。 它 能 够 
提供 邮件 加 密 、 数 字 签 名 ,认证 ,数据 压缩 和 密 钥 管理 功能 。 由 于 它 功 能 强大 ,使 用 方便 ， 
所 以 在 Windows、UNIX 和 Mashintosh 平台 上 得 到 广泛 应 用 。 

PGP 采用 ZIP 压缩 算法 对 邮件 数据 进行 压缩 ,采用 IDEA 对 压 编 后 的 数据 进行 加 
密 , 采 用 MD5 Hash 函数 对 邮件 数据 进行 散 列 处 理 , 采 用 RSA 对 邮件 数据 的 Hash 值 进 
行 数字 签名 ,采用 支持 公 钥 证 书 的 密 钥 管理 。 为 了 安全 ,PGP 采用 了 先 签名 后 加 密 的 数 
字 签 名 方案 。 
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PGP 巧妙 地 将 公 钥 密码 RSA 和 传统 密码 IDEA 结合 起 来 ,兼顾 了 安全 和 效率 。 支 
持 公 和 钥 证 书 的 密 钥 管理 使 PGP 系统 更 安全 方便 。PGP 还 有 相当 的 灵活 性 ,对 于 传统 密 
码 ,支持 IDEA、 三 重 DES, 公 钥 密码 支持 RSA、DH 密 钥 交换 算法 , Hash 函数 支持 
MD5 .SHA。 这 些 明 显 的 技术 特色 使 PGP 成 为 Internet 环境 中 著名 的 保密 电子 邮件 软 
件 系 统 。 

PGP 采用 1024 位 的 RSA、128 位 的 IDEA 密 钥 、128 位 的 MD5 、DH 密 钥 交换 算法 、 
公 角 证书, 因此 PGP 是 安全 的 。 如 果 采 用 160 位 的 SHA,PGP 将 更 安全 。PGP 的 发 送 
过 程 如 图 6-2 所 示 。 具 体 如 下 。 

@ 邮件 数据 M 经 MD5 进行 散 列 处 理 , 形 成 数据 的 摘要 。 

@ 用 发 送 者 的 RSA 私 钥 各 对 摘要 进行 数字 签名 ,以 确保 真实 性 。 

@ 将 邮件 数据 与 数字 签名 拼接 : 数据 在 前 ,签名 在 后 。 

@ 用 ZIP 对 拼接 后 的 数据 进行 压缩 ,以 便于 存储 和 传输 。 

@ 用 IDEA 对 压缩 后 的 数据 进行 加 密 , 加 密 钥 为 zx, 以 确保 秘密 性 。 

@ 用 接收 者 的 RSA 公 钥 加 密 IDEA 的 密 钥 &。 

@ 将 经 RSA 加 密 的 IDEA 密 钥 与 经 IDEA 加 密 的 数据 拼接 : 数据 在 前 , 密 钥 在 后 。 

将 加 密 数 据 进行 Base64 变化 ,变化 成 ASCII 码 。 因 为 许多 E-mail 系统 只 支持 
ASCII 码 数 据 。 





ke 


k RSA | 一 -一 
本 
M 
.0 =| Base64 


一 一 MD5 | RSA = ZIP 上 一 | IDEA 
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图 6-2 ”PGP 的 发 送 过 程 


63 ”数字 签名 标准 及 数字 签名 算法 





数字 签名 标准 (Digital Signature Standard,DSS) 是 由 NIST 公布 的 联邦 信息 处 理 标 
准 。DSS 最 初 于 1991 年 公布 ,在 考虑 了 公 钥 对 其 安全 性 的 反馈 意见 后 ,后 来 做 了 广泛 的 
修改 。2000 年 1 月 美国 政府 将 RSA 和 椭圆 曲线 密码 引入 数字 签名 标准 DSS ,进一步 丰 
富 了 DSS 的 算法 。 

DSS 为 计算 和 核实 数字 签名 指定 了 一 个 数字 签名 算法 (Digital Signature Standard， 
DSA)。DSA 是 在 EIGamal 和 Schnorr 两 个 签名 方案 基础 上 设计 的 ,其 安全 性 基于 求 离 
散 对 数 的 困难 性 。 


631 DSS 签名 与 RSA 签 名 的 区 别 


首先 将 DSS 与 RSA 的 签名 方式 作 一 比较 。RSA 算法 既 能 用 于 加 密 和 签名 ,又 能 用 
于 密 钥 交换 。 与 此 不 同 ,DSS 使 用 的 算法 只 能 提供 数字 签名 功能 。RSA 签名 和 DSS 签 
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名 的 不 同方 式 如 图 6-3 所 示 。 


-TO 一 
m 
SKA PKA 













































































Esk,[H(m)] 
(a) RSA 等 名 
这 -(() -| (从 一 
PKo] JSKA | PKG|， PKA 
s 一 一 一 一 一 
2 Lr Ver = 比较 
4 一 | 

(b) DSS 签名 


6-3 RSA 签名 和 DSS 签名 的 不 同方 式 


采用 RSA 签名 时 ,将 消息 输入 一 个 杂凑 函数 以 产生 一 个 固定 长 度 的 安全 杂凑 值 , 再 
用 发 送 方 的 密 钥 加 密 杂 凑 值 形成 对 消息 的 签名 。 消 息 及 其 签名 被 一 起 发 给 接收 方 ,接收 
方 得 到 消息 后 产生 出 消息 的 杂凑 值 , 且 使 用 发 送 方 的 公 钥 对 收 到 的 签名 解密 。 这 样 接收 
方 就 得 到 了 两 个 杂凑 值 ,如 果 两 个 杂凑 值 是 一 样 的 , 则 认为 收 到 的 签名 是 有 效 的 。 

DSS 签名 也 利用 一 杂凑 函数 产生 消息 的 一 个 杂凑 值 ,杂凑 值 连同 一 随机 数 上 一 起 作 
为 签名 函数 (Sig) 的 输入 ,签名 函数 还 需 使 用 发 送 方 的 密 钥 SKA 和 供 所 有 用 户 使 用 的 一 
族 参数 , 称 这 一 族 参数 为 全 局 公 钥 PKc 。 签 名 函数 的 两 个 输出 和 > 就 构成 了 消息 的 签 
名 (sr)。 接 收 方 收 到 消息 后 再 产生 出 消息 的 杂凑 值 , 将 杂凑 值 与 收 到 的 签名 一 起 输入 到 
验证 函数 (Ver) ,验证 函数 还 需 输 入 全 局 公 钥 PKc 和 发 方 的 公 钥 PKA 。 验 证 函数 的 输出 
结果 与 收 到 的 签名 成 分 > 相等 , 则 验证 了 签名 是 有 效 的 。 

DSS 中 规定 使 用 了 安全 散 列 算法 (SHA-1) ,图 6-4 是 DSS 签名 与 验证 中 算法 的 使 用 
过 程 。 





























消息 
量 SHA-1 散 列 算法 
SHA-1 散 列 算法 
消息 摘要 
接收 到 的 签名 
i 公开 密 钥 县 
消息 摘要 人 
DSA 验 证 委 法 “| 人 





秘密 密 钥 县 


签名 
DSA 等 2 
a 输出 签名 是 否 有 效 的 信息 
(a) 签名 过 程 (b) 验证 过 程 
图 6-4 DSS 签名 与 验证 过 程 
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632 ”DSA 数字 签名 算法 描述 


DSA 基于 离散 对 数 问题 ,可 以 看 作 ElGamal 数字 签名 体制 的 一 个 变 体 , 其 算法 描述 
如 下 。 
QO 全 局 公 钥 。 
Pp: 满足 2! 二 p 二 2" 的 大 素数 ,其 中 512 一 工 一 1024, 且 工 是 64 的 倍数 ; 
gq: p 一 1 的 素 因子 ,满足 2”<g<2”, 即 gq 长 为 160b; 
g: 8 二 h%-?/ mod p, 其 中 是 满足 1 二 h 二 p 一 1, 且 使 得 h%-?4 mod 思 >>1 的 任 一 
整数 。 
@ 用 户 密 钥 。 
工 是 满足 0 二 x<g 的 随机 数 或 伪 随 机 数 。 
@ 用 户 的 公 钥 。 
y=g modp 
@ 用 户 为 待 签 消息 选取 的 秘密 数 & 是 满足 0k=g 的 随机 数 或 伪 随 机 数 。 
@ 签名 过 程 。 
用 户 对 消息 m 的 签名 为 (r,s) ,其 中 : 
r= (gt mod p) modg 
s=[kI(H(m)+zrr)] modg 
五 (mm) 是 由 SHA 求 出 的 杂凑 值 。 
@ 验证 过 程 。 
设 接收 方 收 到 的 消息 为 m ,签名 为 (r,s')。 计 算 : 
w= (s) moddg w= [HO )w] modg 
uw =rwmodg v=[(gny*) modp] modg 
检查 v 是 否 等 于 x' ,车 相等 , 则 认为 签名 有 效 。 
这 是 因为 车 Gn ,r,s ) 二 (msr ,5), 则 : 
v=[(g"™*g**) mod p] modg 


(HOm+zr) sl 


一 [g mod pj] mod 
一 (gmod p) mod gS=r 
算法 的 框图 如 图 6-5 所 示 ,其 中 的 4 个 函数 分 别 为 : 
s= fi[HOm) ,zyr,dq] 一 [LA (H(m)+ zr)] modg 
r= flk,p,q,g] = (g* mod p) modg 
w= fsls’,g] = (s)! modg 
v= filysqrgr Hm ) wr = [gm Vm y ms) mod p] mod g 
由 于 离散 对 数 的 困难 性 ,敌手 从 恢复 & 或 从 人 恢复 x 都 是 不 可 行 的 。 
还 有 一 个 问题 值得 注意 , 即 签名 产生 过 程 中 的 运算 主要 是 求 ~ 的 模 指 数 + 王 
(8 mod p) mod g ,而 这 一 运算 与 待 签 的 消息 无 关 , 因 此 DSA 签名 算法 的 一 个 优点 是 指 
数 可 做 预计 算 而 无 须 在 签名 生成 时 进行 。RSA 签名 方案 不 能 进行 预计 算 。 事 实 上 ,用户 
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(a) 签名 过 程 (b) 验证 过 程 
图 6-5 DSA 签名 算法 的 框图 


可 以 预先 计算 出 很 多 r 和 A& :以 备 以 后 的 签名 使 用 ,从 而 可 大 大 加 快 产生 签名 的 速度 。 








例 6-6 DSA 算法 示例 。 取 素数 go 一 23 与 p= 二 47, 并 取 a 二 17? mod 47 一 7。 假设 用 户 
A 选择 了 整数 ma 二 10 作为 自己 的 秘密 签名 密 钥 ,因此 ,用 户 A 的 公开 签名 密 钥 : 
ca 一 anA modp=7" mod47= 32 
用 户 A 对 SHA-1(M) 二 15 进行 运算 得 到 签名 。 首 先 ,用 户 A 产生 随机 数 二 19, 根 
据 扩展 的 欧 几 里 得 算法 得 一 := 王 17 mod 23。 
然后 ,用 户 A 计算 : 
R= (a'(mod p))(mod g) = 12 
接着 ,用 户 A 将 计算 ;: 
s=m (SHA—1(M)+maR) modg 
一 17X(15 十 10X12) mod 23 = 18 
用 户 A 把 元 组 (r,s) 二 (12,18) 作 为 自己 对 SHA-1(M)= 二 15 的 消息 M 的 签名 ,验证 
签名 (r,s) 二 (12,18) 时 ,验证 方 需要 计算 : 
w= smodg=9 
wu = [SHA-1(M)w] mod g = 20 
us = (Rw) modg= 16 
v= [(anc%) mod p] modg = 12 
此 时 ,v 一 ~ 一 12, 说 明 签 名 是 有 效 的 。 


6.4 ”其 他 数字 签名 方案 





641 基于 离散 对 数 问 题 的 数字 签名 体制 


基于 离散 对 数 问题 的 数字 签名 体制 是 数字 签名 体制 中 最 为 常用 的 一 类 ,除了 前 面 所 
讲 的 DSA 签名 体制 外 ,还 包括 EIGamal 签名 体制 .Okamoto 签名 体制 等 。 


1 离散 对 数 签名 体制 
(1) 体制 参数 
Pp: 大 素数 ; 
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g: p 一 1 或 p 一 1 的 大 素 因 子 ; 


8: gERZ; ' 且 g' 二 1 mod p, 其 中 gE€rZ? 表示 g 是 从 2Z; 中 随机 选取 的 ; 


2Z: 用 户 A 的 密 钥 ,1 二 zg; 

y: 用 户 A 的 公 钥 ,y= 二 g* mod p。 

(2) 签名 的 产生 过 程 

对 于 待 签 名 的 明文 m ,A 执行 以 下 步骤 。 

@O 计算 x 的 杂凑 值 互 (0m) 。 

@ 选择 随机 数 &: 1 一 上 一 g ,计算 > 一 gmod p。 


加 从 签名 方程 (ak 二 6 十 cra) mod g 中 解 出 s。 方 程 的 系数 a、b、c 有 多 种 不 同 的 选择 
方法 , 表 6-1 给 出 了 这 些 可 能 选择 中 的 一 小 部 分 ,以 (r,s) 作 为 产生 的 数字 签名 。 


表 6-1 参数 a,b,c 可 能 的 置换 取 值 表 
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主 交 主 区 五 (mmz) 
土 rH(m) 主 s 1 
土 rH(m) 士 H(m)s 1 
土 H(m)r 十 闻 由 
土 H(m)s 二 六 1 








(3) 签名 的 验证 过 程 
接收 方 在 收 到 明文 m 和 签名 (r,s) 后 ,可 以 按照 以 下 验证 方程 检验 : 
Ver(y,(r,s),72) = true Sr = gy modp 


2 BGanal 签名 体制 

(1) 体制 参数 

Pp: 大 参数 ; 

g: 2 的 一 个 生成 元 ; 

z: 用 户 A 的 密 钥 ,zERZ7 ; 

y: 用 户 A 的 公 钥 ,> 一 gf mod p。 

(2) 签名 的 产生 过 程 

对 于 待 签名 的 明文 mx,A 执行 以 下 步骤 : 
@ 计算 m 的 杂凑 值 妃 (zz) 。 

@ 选择 随机 数 &: kE RZ; ,计算 r= 二 g* mod p。 
@ 计算 *=( 瑟 (xm) 一 zr)R mod p 一 1。 
@ 以 (r,s) 作 为 产生 的 数字 签名 。 


(3) 签名 验证 过 程 
收 方 在 收 到 明文 m 和 数字 签名 (r,s) 后 , 先 计算 态 (m) ,并 按 下 式 验 证 : 
Ver(y,(r,s)),H(m)) 一 true SO y 一 Sm modp 
正确 性 可 巾 下 式 证 明 : 
i BL sh i 
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3 Schnar 签名 体制 

(1) 体制 参数 

p: 大 素数 ,p 宇 2; 

q: 大 素数 ,q| (p 一 1) ,gq 之 2 ; 

g: SERZ? ,Hl g’=1 mod p; 

z: 用 户 A 的 密 钥 ,1x<g; 

y: 用 户 A 的 公 钥 ,y= 二 g* mod p。 

(2) 签名 的 产生 过 程 

对 于 待 签 名 的 明文 m,A 执行 以 下 步骤 。 

@ 选择 随机 数 &: 1 二 kgq, 计 算 r=g* mod p。 

Q@ 计算 e 一 瓦 (r,zz) 。 

@ 计算 s= (ze 十 k) mod gq。 

@ 以 (e,s) 作 为 产生 的 数字 签名 。 

(3) 签名 验证 过 程 

收 方 在 收 到 明文 m 和 数字 签名 (e,s) 后 , 先 计 算 坟 二 gr*y“ mod p, 然 后 计算 HG ,m)， 
并 按 下 式 验证 : 

Ver(y,(e,s) sm) = true ©S H(r’,m)=e 
其 正确 性 可 由 下 式 证 明 ， 


r=gy*=g" "=gt=rmodp 
642 基于 大 数 分 解 问题 的 签名 体制 


设 是 一 个 大 合 数 , 找 出 的 所 有 素 因 子 是 一 个 困难 问题 , 称 之 为 大 数 分 解 问题 。 下 
面 介绍 的 两 个 数字 签名 体制 都 基于 这 个 问题 的 困难 性 。 


1. Fiat-Shenir 签名 体制 

(1) 体制 参数 

n: n 二 pg, 其 中 p 和 g 是 两 个 保密 的 大 素数 ; 

&: 固定 的 正 整 数 ; 

ii sy4: 用 户 A 的 公 钥 ,对 任何 i(1 三 i 二 有) ,yw 都 是 模 n 的 平方 剩余 ; 

zzayziyzts 用 户 A 的 密 钥 ,对 任何 i(1<i<k) ,xi== Vy mod n。 

(2) 签名 的 产生 过 程 

对 于 待 签名 的 消息 m,A 执行 以 下 步 又。 

@ 随机 选取 一 个 正 整数 +。 

@ 随机 选取 t 个 介 于 1 和 之 间 的 数 记 ,ro…… sr,… sri, 并 对 任何 j(1 三 j 过 ) ,计算 
R;=r? mod n。 

@ 计算 杂凑 值 瓦 Cnm ,Ri ,R: ,…:,R.) .并 依次 取出 及 (mm,Ri,Rs,….R,) 的 前 &, 个 比 
特 值 513 ，… Devyp2 op s** ,Di 。 











产 
@ 对 任何 j(1j<<7) ,计算 s; = [Lz mod n。 
i=1 
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信 ， 


以 下 
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以 (C62,b1 bz bz pba ba)，(s1，"… ,sx)) 作 为 对 m 的 数字 签名 。 


(3) 签名 的 验证 过 程 
收 方 在 收 到 明文 mx 和 签名 (Cb3,… ,Disba basDas CS， 
步骤 来 验证 。 
天 
@ 对 任何 j(1 壹 j 达 ,计算 R= 5; 。 | yi (mod 六 。 
d=l 
@ 计算 HOm,Ri ,Rs,…,R!)。 


s)) 后 ,可 用 


@ 验证 DBsba ,barbn，… ,bn 是 否 依 次 是 昌 (m,Ri ,Ris,…,R/) 的 前 个 


。 如 果 是 , 则 以 上 数字 签名 是 有 效 的 。 
正确 性 可 以 由 以 下 算式 证 明 : 


大 
, 
R’=s;. [[y% modn 
i=1 
大 大 
各 直击 坟 
i=1 i=1 


大 

7 » [Ca yi)% 
i=1 

三 r? 三 R modn 


2 Qillou Qisquater 签名 体制 
(1) 体制 参数 
n: n 二 pq,p 和 g 是 两 个 保密 的 大 素数 ; 
V: gcd(v,(p—1)(g—1))=1; 
zi: 用 户 A 的 密 钥 ,XERZ;; 
y: 用 户 A 的 公 钥 ,y€2; , 且 x*y==1 mod n。 
(2) 签名 的 产生 过 程 
对 于 待 签 明文 m,A 进行 以 下 步骤 。 
@ 随机 选择 一 个 数 RE Z; ,计算 T=k* mod n。 
@ 计算 杂凑 值 : e 王 五 (,T) , 且 使 1 和 ec 一 ou; 否则 ,返回 步骤 @。 
@ 计算 ;=kzx* mod n。 
@ 以 (e,s) 作 为 对 m 的 签名 。 
(3) 签名 的 验证 过 程 
接收 方 在 收 到 明文 m 和 数字 签名 (e,s) 后 ,用 以 下 步骤 来 验证 。 
QO@ 计算 出 T=s*y* mod n。 
@ 计算 出 = 二 HGn,T)。 
图 验证 : Ver(y,(e,s),m) 二 true 全 ce 一 e。 
正确 性 可 由 以 下 算式 证 明 
T= sy mod n= (kr)’y modn 
=k"(ry) modn=k"modn=T 


643 盲 签名 
电子 化 、 网 络 化 的 便捷 带 来 了 众多 的 安全 隐患 ,例如 在 网 上 信用 卡 购物 


:相应 的 交易 
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信息 就 会 被 存储 到 数据 库 中 ,消费 者 使 用 的 电子 现金 必须 加 上 银行 的 数字 签名 才能 生效 ， 
此 时 为 了 保护 消费 者 的 匿名 性 ,就 要 用 到 盲 签名 技术 ; 同样 ,在 电子 选举 中 ,选民 提交 的 
选票 也 必须 盖 上 选 委 会 的 戳记 ( 即 数字 签名 ) 才 合法 ,为 了 保护 选民 的 匿名 性 也 要 用 到 盲 
签名 技术 。 因 此 , 盲 签 名 在 电子 商务 和 电子 政务 系统 中 有 着 广泛 的 应 用 前 景 。 


1 盲 签名 的 原理 

在 普通 数字 签名 中 ,签名 者 总 是 先知 道 数据 的 内 容 后 才 实 施 签名 ,这 是 通常 的 办 公事 
务 所 需要 的 。 但 有 时 却 需要 某 个 人 对 某 数据 签名 ,而 又 不 能 让 他 知道 数据 的 内 容 , 称 这 种 
签名 为 盲 签名 (Blind Signature) 。 

与 普通 签名 相 比 , 育 签 名 有 两 个 显著 的 特点 。 

J 签名 者 不 知道 所 签署 的 数据 内 容 。 

@ 在 签名 被 接收 者 泄露 后 ,签名 者 不 能 追踪 签名 。 

为 了 满足 以 上 两 个 条 件 ,接收 者 首先 将 待 签 数据 进 行 盲 变换 ,把 变换 后 的 盲 数据 发 给 
签名 者 ,经 签名 者 签名 后 再 发 给 接收 者 。 接 收 者 对 签名 再 进行 去 盲 变换 ,得 出 的 便 是 签名 
者 对 原 数 据 的 盲 签名。 这 样 便 满足 了 条 件 中 。 要 满足 条 件 四 ,必须 使 签名 者 事后 看 到 盲 
签名 时 不 能 与 盲 数据 联系 起 来 ,这 通常 是 依靠 某 种 协议 来 实现 的 。 

盲 签名 的 原理 可 用 图 6-6 来 表示 。 























数据 一 =| 言 变换 | 一 | 签名 =| 去 讶 变换 一 盲 签名 





6-6 盲 签名 的 原理 


D. Chaum 首先 提出 盲 签名 的 概念 ,设计 出 具体 的 盲 签名 方案 ,并 取得 专利 。 他 形象 
地 将 育 签名 比喻 成 在 信封 上 签名 ,明文 好 比 书信 的 内 容 , 为 了 不 使 签名 者 看 到 明文 ,给 信 
纸 加 一 个 具有 复写 能 力 的 信封 ,这 一 过 程 称 为 讶 化 过 程 。 经 过 育 化 的 文件 ,别人 是 不 能 读 
的 。 而 在 育 化 后 的 文件 上 签名 ,好 比 是 使 用 硬笔 在 信封 上 签名 。 虽 然 是 在 信封 上 签名 ,但 
因 信 封 具 有 复写 能 力 , 所 以 签名 也 会 签到 信封 内 的 信纸 上 。 


2 盲 签名 的 一 般 协 议 

QU 准备 N 份 内 容 相同 的 文件 ,分别 乘 以 不 同 的 随机 数 ( 盲 因子 ) 实 现 盲 化 。 

@ U 将 盲 化 后 的 N 份 文件 提交 给 S。 

@ S 随机 选择 一 部 分 (如 N 一 1 个 ) 文 件 , 向 U 索要 盲 因子 ,恢复 出 文件 (去 盲 ) ,审查 
内 容 是 否 符合 要 求 。 

@ 如 果 审 查 通过 ,S 从 未 审查 的 文件 中 任 取 一 份 盲 签名 ,并 发 给 口 ,否则 协议 终止 。 

@ U 对 收 到 的 签名 文件 去 盲 , 得 到 原文 件 和 签名 。 

其 中 ,@ 可 以 有 多 种 方案 来 减少 U 欺骗 的 可 能 性 。 如 不 考虑 @, 则 可 以 用 如 下 标记 
表示 盲 签名 : 文件 ,签名 函数 S, 盲 化 函数 尺 ,去 盲 化 函数 ,签名 认证 函数 C, 则 盲 签名 算 
法 一 般 过 程 为 : 

a. 盲 化 U 一 S:RCmz)。 

b. 签名 SU:S(R(m))。 

c. 去 盲 U:SCR(Cz)) 一 SCz) 。 
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d. 验证 : C(S(m))。 


3 盲 签名 的 分 类 

由 于 采用 不 同 的 技术 ,基于 不 同 的 问题 以 及 实际 应 用 中 对 盲 化 程度 的 不 同 要 求 , 盲 签 
名 可 以 有 众多 不 同 的 变型 , 现 将 其 大 致 归 类 如 下 : 

(1) 根据 对 不 同 参数 的 盲 化 及 盲 化 强度 分 类 

Q@ 强 盲 签 名: 无 论 签名 者 存储 多 少 协议 中 间 信 息 ,他 都 无 法 将 SigCm ) 和 Sig(m) 进 
行 联系 ,而 且 签名 接收 方 的 身份 具有 无 条 件 的 无 可 追踪 性 。 

@ 弱 讶 签名: 签名 者 仅 知道 盲 化 后 的 消息 m 的 签名 Sig(m) 而 不 知 Sig(m) ,这 里 
Sig(m) 是 签名 接收 方 利 用 Sig(m ) 所 求 得 。 如 果 签 名 者 存储 Sig(m ) 或 其 他 有 关 数 据 , 待 
Sig(m) 公 开 后 ,签名 者 可 以 找到 Sig(m ) 和 Sig(m) 的 内 在 联系 ,从 而 达到 对 消息 拥有 者 
的 跟踪 。 

@ 部 分 育 签 名 : 它 的 特殊 性 在 于 被 签名 的 文件 是 由 U 和 S 共同 产生 的 ,包括 U 的 
原始 文件 mw 和 S 的 有 关 信 息 ( 如 身份 信息 1)。 设 S 的 有 关 信 息 为 , 则 部 分 育 签 名 的 主 
要 思路 是 : U 将 w 盲 化 为 m 后 提交 给 S,S 用 私 钥 对 了 和 wm 的 合成 信息 签名 并 发 给 U,U 
去 盲 后 得 到 最 终 的 签名 。 任 何人 可 以 根据 S 的 公 钥 验证 签名 。 

(2) 根据 盲 签名 基于 不 同 数学 问题 进行 分 类 

Q@ 基于 因子 分 解 问题 的 讶 签名 : 此 类 盲 签名 方案 的 安全 性 是 基于 目前 数学 界 尚 无 
法 解决 的 一 个 难题 一 一 因子 分 解 问 题 , 如 著名 的 RSA 就 是 一 个 典型 的 基于 因子 分 解 问题 
的 签名 系统 ,而 将 其 育 化 就 可 以 得 到 一 个 基于 此 类 问题 的 育 RSA 签名 方案 。 

@ 基于 离散 对 数 问题 的 盲 签名 : 此 类 盲 签 名 方案 的 安全 性 也 是 基于 目前 数学 界 尚 
无 法 解决 的 一 个 难题 一 一 离散 对 数 问题 ,此 类 方案 的 变形 种 类 相当 多 ,比较 著名 的 有 盲 
Schnorr 签名 . 盲 EIGamal 签名 等 。 


4 盲 签名 的 性 质 

此 处 给 出 的 讶 签名 的 性 质 是 根据 完全 讶 签名 得 到 的 ,如 果 讶 化 程度 减弱 , 则 部 分 属性 
就 可 能 无 法 得 到 满足 : 

@ 盲 签名 具有 一 般 数字 签名 的 所 有 特性 。 

@ 可 以 证 明 消息 m 上 签名 者 S 的 签名 是 合法 的 ,无 论 何 时 ,S 都 相信 他 签 过 这 个 
消息 。 

@ S 不 能 将 签名 的 消息 与 签 过 这 个 消息 的 行为 联系 起 来 ,即使 保存 了 他 所 签 的 每 一 
个 育 签 名 的 记录 ,他 也 不 能 确定 他 什么 时 候 签 过 某 一 个 给 定 的 消息 , 即 签名 者 的 协议 信息 
和 消息 -签名 对 是 不 可 链接 的 。 

@ 签名 接收 者 R 的 身份 是 保密 的 , 且 永远 不 会 被 泄露 ,具有 无 条 件 的 不 可 追踪 性 。 

@ 盲 签 名 是 无 法 伪造 的 ,假设 攻击 者 收集 了 个 育 签 名 ,他 也 无 法 计算 出 第 n 十 1 个 
盲 签名。 


5 盲 签名 方案 
(1) RSA 盲 签名 方案 


D. Chaum 利用 RSA 算法 构成 了 第 一 个 盲 签名 算法 。 下 面 介绍 这 一 算法 。 
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设 用 户 A 要 把 消息 M 发 送 给 B 进行 盲 签名 ,e 是 了 的 公开 的 加 密 钥 ,4& 是 B 的 保密 
的 解密 钥 。 

Q A 对 消息 M 进行 讶 化 处 理 : 随机 选择 盲 化 整数 上 ,1<&<M, 并 计算 

T= CMA) modn 
@ A 把 研发 给 B。 
回 B 对 工 签名 : 

T? 一 CMR“)4 modn 

@ B 把 对 人工 的 签名 发 给 A。 

@@ A 通过 计算 得 到 B 对 M 的 签名 : 

S= T’/k modn= M’:modn 

这 一 算法 的 正确 性 可 简单 证 明 如 下 : 因为 T= (Mk)* mod n, 所 以 T"/k mod 7 一 
Me mod n, 而 这 恰好 是 B 对 消息 M 的 签名 。 

盲 签 名 在 某 种 程度 上 保护 了 参与 者 的 利益 ,但 不 幸 的 是 盲 签 名 的 匿名 性 可 能 被 犯罪 
分 子 所 滥用 。 为 了 阻止 这 种 滥用 ,人 们 又 引入 了 公平 盲 签名 的 概念 。 公 平 盲 签名 比 盲 签 
名 增加 了 一 个 特性 , 即 建立 一 个 可 信 中 心 ,通过 可 信 中 心 的 授权 ,签名 者 可 追踪 签名 。 

(2) 双 联 签名 方案 

双 联 签名 是 实现 讶 签名 的 一 种 变通 方法 。 它 的 基本 原理 是 利用 协议 和 密码 将 消息 与 
人 关联 起 来 而 并 不 需要 知道 消息 的 内 容 , 从 而 实现 育 签 名 的 两 个 特性 。 

双 联 签名 采用 单 向 Hash 函数 和 数字 签名 技术 相 结 合 , 实 现 讶 签名 的 两 个 特性 。 其 
原理 如 图 6-7 所 示 。 


MI+SA 






























































消息 MM | | 接收 者 B 
| 注意 : + 号 表示 首尾 相连 接 
HM) Fo HMI+HM) Sa=Sig(HMI+ HOM) 
装填 一 一 | 签名 
HM) 上 一 一 一 一 | 
kaa 
消息 MP 


























6-7 双 联 签名 原理 


消息 M 和 M: 从 分 别 经 Hash 函数 变换 后 得 到 (Mi) 和 甩 (M;), 连 接 后 变 为 
HM) 十 H(M;)。 再 由 发 信者 A 用 自己 的 秘密 钥 ka 签 名 ,得 到 Ss 二 Sig(H(Mi) 十 
HH(M,))。 最 后 将 Mi 与 SA 连接 发 给 接收 者 B, 将 M 与 SA 连接 发 给 接收 者 C。 

接收 者 B 和 接收 者 C 都 可 用 发 信者 A 的 公开 密 钥 验 证 双 联 签名 SA 。 但 接收 者 也 只 
能 阅读 M ,计算 (Mi), 通 过 HH(M) 验 证 Mi 是 否 正确 。 而 对 消息 Ms 却 一 无 所 知 ,但 
通过 验证 签名 SA 可 以 相信 消息 Me 的 存在 。 同 样 ,接收 者 C 也 只 能 阅读 Mi ,计算 HCM;)， 
通过 有 (Mi ) 验 证 M; 是 否 正 确 。 而 对 消息 Mi 却 一 无 所 知 , 但 通过 验证 签名 SA 可 以 相信 
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消息 Mi 的 存在 。 


这 个 方案 的 一 个 优点 是 发 信者 对 两 个 消息 Xi 和 M: 只 需要 计算 一 个 签名 。 在 电子 


商务 系统 中 ,许多 支付 系统 都 采用 这 一 方案 。 这 是 因为 在 一 次 支付 过 程 中 ,显然 有 两 个 关 
联 数据 : 一 个 是 关于 转账 的 财务 数据 ; 另 一 个 是 关于 所 购 的 物品 数据 ,因而 与 这 一 方案 
相 适 应 。 


习题 6 
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. 数字 签名 有 什么 作用 ? 主要 应 用 在 哪些 场合 ? 
. 简 述 数字 签名 技术 的 性 质 。 

. 数字 签名 体制 有 哪 几 类 ? 

. 简 述 数字 签名 流程 。 

. 阐述 数字 签名 标准 DSS。 

. 简 述 DSA 与 RSA 签名 技术 的 区 别 。 

. 简 述 数字 签名 算法 DSA 描述 的 过 程 。 
.比较 和 分 析 RSA 签名 和 ElGamal 签名 的 优 缺 点 。 
. 简 述 基于 离散 对 数 问题 的 数字 签名 体制 。 

10. 简 述 基于 大 数 分 解 问题 的 数字 签名 体制 。 
11. 盲 签 名 与 普通 签名 相 比 有 哪些 不 同 点 ? 

12. 简 述 育 签名 算法 的 基本 流程 。 


Co oi- 
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网 络 安全 技术 


本 章 首先 介绍 网 络 安全 的 基本 概念 ,然后 对 OSI 网 络 模型 中 各 个 层次 所 涉及 的 网 络 
安全 技术 进行 了 介绍 ,包括 安全 协议 IPSec, 电 子 邮 件 安全 协议 PGP、S/MIME 协议 , Web 
安全 协议 SSL HTTPS 协议 以 及 VPN 的 相关 原理 和 应 用 等 。 


7.1 网 络 安全 概述 





711 网 络 安全 的 概念 


网 络 安全 从 其 本 质 上 来 讲 就 是 网 络 上 的 信息 安全 。 它 涉及 的 领域 相当 广泛 。 这 是 因 
为 在 目前 的 公用 通信 网 络 中 存在 着 各 种 各 样 的 安全 漏洞 和 威胁 。 

从 用 户 ( 个 人 ,企业 等 ) 的 角度 来 说 ,他 们 希望 涉及 个 人 隐私 或 商业 利益 的 信息 在 网 络 
上 传输 时 受到 机 密 性 、 完 整 性 和 真实 性 的 保护 ,避免 其 他 人 或 对 手 利用 窃听 、 冒 充 、 算 改 、 
抵赖 等 手段 侵犯 用 户 的 利益 和 隐私 以 造成 损害 和 侵犯 ,同时 也 希望 保存 在 特定 主机 上 的 
信息 不 受 其 他 用 户 的 非 授 权 访 问 和 破坏 。 

从 网 络 运行 和 管理 者 角度 说 ,他 们 和 希望 对 本 地 网 络 信息 的 访问 . 读 写 等 操作 受到 保护 
和 控制 ,避免 出 现 病毒 .非法 存 取 、 拒 绝 服务 和 网 络 资源 非法 占用 和 非法 控制 等 威胁 ,制止 
和 防御 网 络 *“ 黑 客 "的 攻击 。 

对 安全 保密 部 门 来 说 ,他 们 和 希望 对 非法 的 .有害 的 或 涉及 国家 机 密 的 信息 进行 过 滤 和 
防 堵 ,避免 机 要 信息 泄露 ,避免 对 社会 产生 危害 、 对 国家 造成 巨大 的 经 济 损失 ,其 至 威胁 到 
国家 安全 。 从 社会 教育 和 意识 形态 角度 来 讲 , 网 络 上 不 健康 的 内 容 会 对 社会 的 稳定 和 人 
类 的 发 展 造成 阻碍 ,必须 对 其 进行 控制 。 

网 络 安全 (Network Security) 的 通用 定义 是 : 网 络 统称 的 硬件 软件 及 其 系统 中 的 数 
据 受 到 保护 ,不 因 偶然 的 或 者 恶意 的 原因 而 遭 到 破坏 、 更 改 和 泄露 ,系统 连续 、 可 靠 . 正 常 
地 运行 ,网 络 服务 不 中 断 。 由 此 可 以 将 计算 机 网 络 的 安全 理解 为 : 通过 采用 各 种 技术 和 
管理 措施 ,使 网 络 系统 正常 运行 ,从 而 确保 网 络 数据 的 可 用 人性、 完整 性 和 保密 性 。 

网 络 安全 根据 其 本 质 的 界定 ,具有 以 下 基本 特征 。 

g@ 保密 性 : 指 信 息 不 泄露 给 非 授权 的 个 人 、 实 体 和 过 程 或 供 其 使 用 的 特性 。 

@ 完整 性 : 指 信 息 未 经 授权 不 能 进行 改变 的 特性 , 即 信 息 在 存储 或 传输 过 程 中 保持 
不 被 修改 \ 不 被 破坏 .不 被 插入 \ 不 延迟 不 乱 序 和 不 丢失 的 特性 。 对 网 络 信息 安全 进行 攻 
击 其 最 终 的 目的 就 是 破坏 信息 的 完整 性 。 
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@ 可 用 性 : 指 合法 用 户 访 问 并 能 按 要 求 使 用 信息 的 特性 , 即 保证 合法 用 户 在 需要 时 
可 以 访问 到 信息 及 相关 资源 。 网 络 环 境 下 拒绝 服务 、 破 坏 网 络 和 有 关系 统 的 正常 运行 都 
属于 对 可 用 性 的 攻击 。 

@ 可 审计 性 : 通信 双方 在 信息 交流 后 ,不 能 抵赖 曾经 做 出 的 行为 ,也 不 能 否认 曾经 
接收 到 对 方 的 信息 。 

@ 可 控制 性 : 指 授权 机 构 对 信息 的 内 容 及 传播 具有 控制 能 力 的 特性 ,可 以 控制 授权 
范围 内 的 信息 流向 和 方式 。 


712 网 络 安全 模型 


网 络 安 全 系统 并 非 局 限于 通信 保密 、 对 信息 加 密 功 能 要 求 等 技术 问题 , 它 是 涉及 很 多 
方面 的 一 项 极其 复杂 的 系统 工程 。 网 络 信息 安全 模型 如 图 7-1 所 示 。 















增强 用 户 的 认证 








政策 、 法 律 、 法 规 





7-1 网 络 信息 安全 模型 


一 个 完整 的 网 络 信息 安全 系统 至 少 包 括 以 下 三 类 措施 ,并 且 三 者 缺 一 不 可 。 

Q@ 社会 的 法 律 政策 ,企业 的 规章 制度 及 网 络 安全 教育 。 

@ 技术 方面 的 措施 ,如 防火 墙 技术 、 防 病毒 ,信息 加 密 、 身 份 确认 、 授 权 。 

@ 审计 与 管理 措施 ,包括 技术 措施 与 社会 措施 。 

实际 应 用 中 ,网络 信 息 安 全 模型 各 部 分 相辅相成 , 缺 一 不 可 ,其 中 底层 是 上 层 保障 的 
基础 。 政 策 ,法律 ,法规 是 安全 的 基石 , 它 是 建立 安全 管理 的 标准 和 方法 ; 增强 的 用 户 认 
证 是 安全 系统 中 属于 技术 措施 的 首 道 防线 ; 用 户 认 证 的 主要 目的 是 提供 访问 控制 。 授 权 
主要 是 为 特许 用 户 提供 合适 的 访问 权限 ,并 监控 用 户 的 活动 ,使 其 不 越权 使 用 ; 加 密 是 信 
息 安全 应 用 中 最 早 使 用 的 一 种 行 之 有 效 的 手段 之 一 ,数据 通过 加 密 可 以 保证 在 存 取 与 传 
送 的 过 程 中 不 被 非法 查看 、 算 改 和 窃取 等 ; 在 网 络 信 息 模型 的 项 部 是 审计 与 监控 ,这 是 系 
统 安全 的 最 后 一 道 防线 , 它 包 括 数据 的 备份 。 当 系统 一 旦 出 现 了 问题 ,审计 与 监控 可 以 提 
供 问题 的 再 现 、 责 任 追 查 和 重要 数据 恢复 等 保障 。 


713 网 络 安全 的 关键 技术 


网 络 安全 技术 是 为 了 保证 网 络 环境 中 各 种 应 用 系统 和 信息 资源 的 安全 ,防止 未 经 授 
权 的 用 户 非法 登录 系统 ,非法 访问 网 络 资源 、 窃 取信 息 或 实施 破坏 。 网 络 安全 技术 主要 侧 
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重 于 攻击 行为 特征 分 析 、 攻 击 行为 检测 、 系 统 防护 和 系统 灾难 恢复 等 方面 的 研究 ,关键 技 
术 主 要 包括 入 侵 检测 技术 、 身 份 认证 技术 、 访 问 控制 技术 ,数据 加 密 技 术 、 防 火 墙 技 术 、 安 
全 审计 技术 、 主 机 安全 技术 等 。 


1 入 侵 检 测 技术 

入 侵 检测 (Intrusion Detection) 是 指 对 入 侵 行 为 的 检测 。 入 侵 检 测 技术 是 一 种 动态 
的 网 络 检测 技术 ,用 于 识别 对 网 络 系统 的 恶意 使 用 行为 ,包括 来 自 外 部 用 户 的 入侵 行为 和 
内 部 用 户 的 未 经 授权 活动 ,一 旦 发 现 网 络 入 侵 现象 , 则 应 当做 出 适当 的 反应 。 它 通过 对 计 
算 机 网 络 或 计算 机 系统 中 若干 关键 点 收集 信息 并 对 其 进行 分 析 , 从 中 发 现 网 络 或 系统 中 
是 否 有 违反 安全 策略 的 行为 和 被 攻击 的 迹象 。 进 行人 侵 检测 的 软件 与 硬件 的 组 合 便 是 人 
侵 检 测 系 统 (Intrusion Detection System,IDS)。 与 其 他 安全 产品 不 同 的 是 : 人 侵 检 测 系 
统 需要 更 多 的 智能 , 它 必 须 可 以 将 得 到 的 数据 进行 分 析 , 并 得 出 有 用 的 结果 。 一 个 合格 的 
入 侵 检 测 系统 能 大 大 简化 管理 员 的 工作 ,保证 网 络 安全 的 运行 。 

2 身份 认证 技术 

身份 认证 (Certificate Authority,CA) 是 指 计算 机 及 网 络 系统 确认 操作 者 身份 的 过 
程 。 计 算 机 和 计算 机 网 络 组 成 了 一 个 虚拟 的 数字 世界 。 在 数字 世界 中 ,一切 信 息 ( 包 括 用 
户 的 身份 信息 ) 都 是 由 一 组 特定 的 数据 表示 ,计算 机 只 能 识别 用 户 的 数字 身份 ,给 用 户 的 
授权 也 是 针对 用 户 数 字 身 份 进行 的 。 而 现实 世界 是 一 个 真实 的 物理 世界 ,每 个 人 都 拥有 
独一无二 的 物理 身份 。 如 何 保证 以 数字 身份 进行 操作 的 访问 者 就 是 这 个 数字 身份 的 合法 
拥有 者 , 即 如 何 保证 操作 者 的 物理 身份 与 数字 身份 相对 应 ,就 成 为 一 个 重要 的 安全 问题 。 
身份 认证 技术 的 诞生 就 是 为 了 解决 这 个 问题 。 


3 访问 控制 技术 

访问 控制 (Access Control, AC) 是 网 络 安全 防范 和 保护 的 最 重要 的 核心 策略 之 一 , 它 
的 主要 任务 是 保证 网 络 资源 不 被 非法 使 用 和 访问 。 它 也 是 维护 网 络 系统 安全 、 保 护 网 络 
资源 的 重要 手段 。 访 问 控制 是 通过 对 访问 者 的 有 关 信 息 进行 检查 来 限制 或 禁止 访问 者 使 
用 资源 的 技术 ,分 为 高 层 访问 控制 和 低层 访问 控制 。 高 层 访问 控制 包括 身份 检查 和 权限 
确认 ,是 通过 对 用 户口 令 ,用户 权限 .资源 属性 的 检查 和 对 比 来 实现 的 。 低 层 访 问 控制 是 
通过 对 通信 协议 中 的 某 些 特征 信息 的 识别 .判断 ,来 禁止 或 允许 用 户 访 问 的 措施 。 


4 数据 加 密 技术 

数据 加 密 是 为 提高 信息 系统 及 数据 的 安全 性 和 保密 性 ,防止 秘密 数据 被 外 部 破解 所 
采用 的 主要 技术 手段 之 一 。 随 着 信息 技术 的 发 展 ,网 络 安全 与 信息 保密 日 益 引 起 人 们 的 
关注 。 目 前 各 国 除了 从 法 律 上 、 管 理 上 加 强 数据 的 安全 保护 外 ,从 技术 上 分 别 在 软件 和 硬 
件 两 方面 采取 措施 ,推动 着 数据 加 密 技 术 和 物理 防范 技术 的 不 断 发 展 。 按 作用 不 同 ,数据 
加 密 技 术 主要 分 为 数据 传输 加 密 技 术 .数据 存储 加 密 技 术 数据 完整 性 鉴别 技术 、 密 钥 管 
理 技术 。 

5 防火 墙 技术 

防火 墙 (Fire Wall) 是 一 种 将 内 部 网 和 公众 网 络 分 开 的 方法 , 它 实 际 是 一 种 隔离 技 
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术 ,是 在 两 个 网 络 通信 时 执行 的 一 种 访问 控制 手段 。 虽 然 防火 墙 是 目前 保护 网 络 免 遭 黑 
客 克 击 的 有 效 手 段 , 但 也 有 明显 不 足 : 无 法 防范 通过 防火 墙 以 外 的 其 他 途径 的 攻击 ,不 能 
防止 来 自 内 部 用 户 的 威胁 ,也 不 能 完全 防止 传送 已 感染 病毒 的 软件 或 文件 ,无 法 防范 数据 
驱动 型 的 攻击 。 目 前 防火 墙 只 提供 对 外 部 网 络 用 户 攻击 的 防护 ,对 来 自 内 部 网 络 用 户 的 
攻击 只 能 依靠 内 部 网 络 主机 系统 的 安全 性 。 


6 安全 审计 技术 

安全 审计 (Security Auditing) 是 一 个 安全 的 网 络 必须 支持 的 功能 特性 。 它 主要 负责 
对 网 络 活动 的 各 种 日 志 记 录 信 息 进行 分 析 和 处 理 , 并 识别 各 种 已 发 生 的 和 潜在 的 攻击 活 
动 ,防止 内 部 犯罪 ,便于 事故 后 调查 取证 ,通过 对 一 些 重要 的 事件 进行 记录 ,从 而 在 系统 发 
现 错误 或 受到 攻击 时 能 定位 错误 和 找到 攻击 成 功 的 原因 。 审 计 定义 为 系统 中 发 生 时 间 的 
记录 和 分 析 处 理 过 程 。 与 系统 日 志 (Log) 相 比 ,审计 更 关注 安全 问题 。 


7. 主 机 安全 技术 

主机 安全 (Host Security) 主 要 控制 系统 用 户 能 否 进入 系统 以 及 进入 后 能 访问 哪些 资 
源 。 这 其 中 包括 操作 系统 安全 、 应 用 程序 安全 ,数据 安全 、 用 户 安全 等 。 

网 络 安 全 性 是 一 个 涉及 面 很 广泛 的 问题 。 我 国信 息 网 络 安全 技术 的 研究 和 产品 开发 
仍 处 于 起 步 阶 段 , 仍 有 大 量 的 工作 需要 去 研究 、 开 发 和 探索 ,以 保证 我 国信 息 网 络 的 安全 ， 
推动 我 国 国民 经 济 的 高 速 发 展 。 





7 2 安全 协议 IPSec 





721 IPSec 协议 简介 


JInternet 已 得 到 广泛 应 用 ,但 其 安全 性 却 不 令 人 满意 。 其 原因 就 在 于 它 赖 以 构建 的 
IP 协 议 。IP 协议 在 设计 时 并 没有 考虑 安全 性 ,很 容易 伪造 出 IP 包 的 地 址 ,修改 其 内 容 ， 
重播 以 前 的 包 以 及 在 传输 途中 拦截 并 查看 包 的 内 容 。 

IPSec(Internet Protocol Security) 协 议 是 由 IETF( 互 联网 工程 任务 组 ) 制 定 的 一 套 
开放 的 标准 网 络 安 全 协议 ,产生 于 IPv6 的 制定 之 中 ,作为 网 络 层 的 安全 协议 ,为 IP 通信 
提供 透明 的 安全 服务 ,保护 TCP/IP 通信 不 被 窃听 和 算 改 ,可 以 有 效 抵 御 网 络 攻击 ,同时 
保持 了 易 用 性 。 由 于 所 有 支持 TCP/IP 协议 的 主机 进行 通信 时 ,都 要 经 过 IP 层 的 处 理 ， 
所 以 提供 了 IP 层 的 安全 性 就 相当 于 为 整个 网 络 提供 了 安全 通信 的 基础 。 鉴 于 IPv4 的 应 
用 仍然 很 广泛 ,所 以 后 来 在 IPSec 的 制定 中 也 增添 了 对 IPv4 的 支持 。 

IPSec 协议 工作 在 主机 、 路 由 器 、 网 关 、 防 火 墙 等 设备 或 安全 位 置 上 ,有 两 个 基本 目标 。 

@ 保护 IP 数据 包 安 全 。 

@ 为 抵御 网 络 攻击 提供 防护 措施 。 

IPSec 协议 具有 如 下 优点 。 

@ 过 滤 每 一 个 访问 计算 机 的 数据 包 , 并 可 根据 数据 报 的 源 IP 地 址 ,协议 和 端口 进行 
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@ 对 应 用 程序 完全 透明 ,应 用 程序 无 须 任何 调整 。 
@ 三 种 身份 验证 。 


@ 对 数据 包 进 行 加 密 , 以 防止 数据 包 在 网 络 传输 中 被 截取 。 
@ 使 用 Hash 算法 保障 数据 包 在 传输 过 程 中 保持 完整 性 。 
@ 确保 每 个 IP 数据 包 的 唯一 性 。 


722 IPSec 协议 结构 


IPSec 协议 是 由 一 系列 协议 构成 的 协议 套件 ,主要 由 三 个 部 分 组 成 ,分 别 是 验证 头 
(Authentication Header,AH,RFC 2402) 协 议 、 封装 安全 载荷 (Encapsulating Security 
Payload,ESP,RFC 2406) 协 议和 Internet 密 钥 交换 (Internet Key Exchange, IKE, RFC 
2409) 协 议 。 图 7-2 显示 了 IPSec 协议 的 体系 结构 组件 及 各 组 件 间 的 相互 关系 。 


安全 体系 结构 
1 
一 ESP AH 
是 本 到， 


加 密 算 法 鉴别 算法 
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秘 钥 管理 协议 一 一 一 | 策略 




















7-2 IPSec 协议 体系 结构 


1 AH 协议 

设计 AH 协议 的 目的 是 用 来 增加 IP 数据 报 的 安全 性 。AH 为 IP 数据 包 提供 如 下 
三 种 服务 : 无 连接 的 数据 完整 性 验证 ,数据 源 身份 认证 和 防 重 放 攻击 。 数 据 完整 性 验证 
通过 哈 希 函数 产生 的 校 验 来 保证 ; 数据 源 身份 认证 通过 在 计算 机 验证 码 时 加 入 一 个 共享 
密 钥 来 实现 ; AH 报头 中 的 序列 号 可 以 防止 重 放 攻击 。 

然而 ,AH 不 提供 任何 保密 性 服务 , 它 不 加 密 所 保护 的 数据 包 , 如 图 7-3 所 示 。AH 
的 作用 是 为 IP 数据 流 提供 高 强度 的 密码 认证 ,以 确保 被 修改 过 的 数据 包 可 以 被 检查 出 来 。 

AH 使 用 消息 验证 码 (MAC) 对 IP 进行 认证 。MAC 是 一 种 算法 , 它 接收 一 个 任意 长 
度 的 消息 和 一 个 密 钥 ,生成 一 个 固定 长 度 的 输出 ,成 为 消息 摘要 或 指纹 。 如 果 数 据 报 的 任 
何 一 部 分 在 传送 过 程 中 被 自 改 ,那么 当 接 收 端 执行 同样 的 MAC 算法 ,并 与 发 送 端 发 送 的 
消息 摘要 值 进 行 比 较 时 ,就 会 被 检测 出 来 。 

最 常见 的 MAC 是 HMAC,HMAC 可 以 和 任何 迭代 密码 散 列 函数 (如 MD5、SHA-1、 
RIPEMD-160) 结 合 使 用 ,而 不 用 对 散 列 函数 进行 修改 。 
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iP 包头! 数据 
iP 包头 数据 
.确保 数据 完整 性 
-人 证 入 可 股 和 人 Oe 
二 -使 用 秘 钥 散 列 机 
散 列 运 算 。 不 提供 加 密 
“提供 可 选 的 防 重 放 保护 认证 数据 (00ABCDEF) 


外 包头 | AH 数据 











所 有 数据 以 明文 方式 传递 
7-3 AH 认证 和 完整 性 


AH 被 应 用 于 除了 在 传输 中 易 变 的 IP 报头 域 ( 例 如 被 沿途 的 路 由 器 修改 的 TTL 域 ) 
之 外 的 整个 数据 包 。AH 的 工作 步骤 如 下 。 

Q@ IP 报头 和 数据 负载 用 来 生成 MAC。 

@ MAC 被 用 来 建立 一 个 新 的 AH 报头 ,并 添加 到 原始 的 数据 包 上 。 

@ 新 的 数据 包 被 传送 到 IPSec 对 端 路 由 器 上 。 

@ 对 端 路 由 器 对 IP 报头 和 数据 负载 生成 MAC, 并 从 AH 报头 中 提取 出 发 送 过 来 的 
MAC 信息 , 且 对 两 个 信息 进行 比较 。MAC 信息 必须 精确 匹配 ,即使 所 传输 的 数据 包 有 
一 个 比特 位 被 改变 ,对 接收 到 的 数据 包 的 散 列 计算 结果 都 将 会 改变 ,AH 报头 也 将 不 能 
匹配 。 


2 ESP 协 议 

ESP 协议 可 以 被 用 来 提供 保密 性 、 数 据 来 源 认 证 (鉴别 )、 无 连接 完整 性 、 防 重 放 服 
务 , 以 及 通过 防止 数据 流 分 析 来 提供 有 限 的 数据 流 加 密 保护 。 实 际 上 ,ESP 提供 和 AH 
类 似 的 服务 ,但 是 增加 了 两 个 额外 的 服务 : 数据 保密 和 有 限 的 数据 流 保密 服务 。 保 密 服 
务 由 通过 使 用 密码 算法 加 密 IP 数据 报 的 相关 部 分 来 实现 。 数 据 流 保密 由 隧道 模式 下 的 
保密 服务 来 提供 ,如 图 7-4 所 示 。 





A 提供 加 密 中 包头 + 数据 
so 
区 到 运算 “可 于 的 引 业 沽 中 散 列 运算 
提供 防 重 放 保护 a 
“不 保护 IP 包 头 认证 数据 (00ABCDEF) 








IP 包 头 | ESP 头 部 | 数据 | ESP 尾 部 | ESP 鉴 别 


数据 负载 被 加 密 传送 


图 7-4 封装 完全 载荷 ESP 


ESP 中 用 来 加 密 数据 报 的 密码 算法 都 毫 无 例外 地 使 用 了 对 称 密 钥 体制 。 公 钥 密 码 
算法 采用 计算 量 非常 大 的 大 整数 的 模 指数 运算 ,大 整数 的 规模 超过 300 位 十 进 制 数字 。 
而 对 称 密码 算法 主要 使 用 初级 操作 ( 异 或 . 逐 位 与 、 位 循环 等 ) ,无 论 以 软件 还 是 硬件 方式 
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执行 都 非常 有 效 。 所 以 相对 公 钥 密码 系统 而 言 ,对称 密 钥 系 统 的 加 、 解 密 效 率 要 高 得 多 。 
ESP 通过 在 IP 层 对 数据 包 进 行 加 密 来 提供 保密 性 , 它 支持 各 种 对 称 的 加 密 算法 。 对 于 
IPSec 的 默认 算法 是 56 比特 的 DES。 该 加 密 算法 的 实施 可 以 保证 IPSec 设备 间 的 互 操 
作 性 。ESP 通过 使 用 消息 认证 码 (MAC) 来 提供 认证 服务 。 

ESP 可 以 单独 应 用 ,也 可 以 以 嵌 套 的 方式 使 用 ,或 者 和 AH 结合 使 用 。 


3 IkKE 协 议 

IKE 协议 是 一 种 混合 协议 ,由 Internet SA( 安 全 联盟 ) 协 议 .ISAKMP 协议 (Internet 
Security Association Key Management Protocol, 密 钥 管理 协议 ) .Oakley 密 钥 确 定 协议 
和 SKEME 协议 共同 构成 。 其 中 ,ISAKMP 协议 通过 ISAKMP 头 格式 和 消息 格式 定义 
生成 SA 和 密 钥 交换 的 框架 ; Oakley 协议 提供 了 密 钥 交换 的 步骤 ; SAEMEFL 协议 给 出 
了 利用 公共 密 钥 加 密实 现 相 互 认证 的 技术 ; IKE 协议 是 结合 三 者 的 功能 组 成 的 一 个 密 钥 
协议 ,用 于 动态 建立 SA。SA 解决 的 是 如 何 保护 通信 数据 、 保 护 什 么 样 的 通信 数据 以 及 
由 谁 来 实行 保护 的 问题 。 

IKE 协议 的 作用 是 : 代表 IPSec 对 安全 联盟 SA 进行 协商 ,建立 和 维护 SADB 数据 
库 , 负 责 密 钥 的 管理 ,定义 通信 实体 间 进 行 身 份 认证 .协商 加 密 算 法 以 及 生成 共享 的 会 话 
密 钥 的 方法 。 具 体 意义 为 : IPSec 协议 根据 IKE 协商 成 功 的 SA 来 确定 通信 双方 使 用 的 协 
议 加密 算法 、 密 钥 等 。 并 且 ,IKE 协商 成 功 的 SA 对 通信 双方 之 间 的 密 钥 管理 进行 保护 。 

与 其 他 任何 一 种 类 型 的 加 密 一 样 ,在 交换 经 过 IPSec 加 密 的 数据 之 前 ,必须 先 建立 
SA。IKE 将 SA 的 协商 分 成 以 下 两 个 阶段 。 

第 一 个 阶段 建立 用 以 保护 IKE 交换 的 安全 性 的 IKE SA ,在 一 个 SA 中 ,两 个 系统 就 
如 何 交 换 和 保护 数据 要 预先 达成 协议 。 在 通信 双方 协商 建立 一 个 经 过 相互 身份 验证 的 安 
全 通道 ,采用 主 模式 (Main Mode) 或 野蛮 模式 (Aggressive Mode) 交 换 。 

第 二 个 阶段 在 第 一 个 阶段 IKE 和 SA 协商 通过 的 安全 通道 的 保护 下 建立 用 于 保护 数 
据 的 IPSec SA ,采用 快速 交换 模式 (Quick Mode) 进 行 。 该 阶段 建立 的 IPSec SA 可 以 为 
之 后 通信 的 所 有 消息 提供 源 认 证 、 完 整 性 、 机 密 性 保障 。 

此 外 ,策略 是 IPSec 协议 结构 中 一 个 非常 重要 但 又 尚未 成 为 标准 的 组 件 , 它 决定 两 个 
实体 之 间 是 否 能 够 通信 ; 如 果 人 允许 通信 ,又 采用 什么 样 的 数据 处 理 算 法 。 如 果 策 略 定义 
不 当 , 可 能 导致 双方 不 能 正常 通信 。 与 策略 有 关 的 问题 分 别 是 “表示 ”与 “实施 ”。“ 表 示 ” 
负责 策略 的 定义 ,存储 和 获取 ;“ 实 施 ” 强 调 的 则 是 策略 在 实际 通信 中 的 应 用 。 

最 后 ,解释 域 (DOI) 为 使 用 IKE 进行 协商 SA 的 协议 统一 分 配 标识 符 。 共 享 一 个 
DOI 的 协议 从 一 个 共同 的 命名 空间 中 选择 安全 协议 和 变换 .共享 密码 以 及 交换 协议 的 标 
识 符 等 ,DOI 将 IPSec 的 这 些 RFC 文档 联系 到 一 起 。 


723 IPSec 协议 工作 模式 


IPSec 协议 工作 模式 分 为 两 种 : 传输 模式 (Transport Mode) 和 隧道 模式 (Tunnel 
Mode) ,如 图 7-5 所 示 。 

IPSec 协议 的 AH 协议 和 ESP 协议 都 可 以 在 这 两 种 模式 下 工作 。 这 样 可 产生 四 种 组 
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服务 器 





端 到 端 认证 (传输 模式 ) 








外 部 网 
端 到 端 认证 (传输 模式 ) 








SS 服务 器 /防火 墙 


端 到 中 间 节 点 的 认证 


(隧道 模式 ) SS 


7-5 IPSec 协议 工作 模式 


合 , 即 传输 模式 下 的 ESP、 隧 道 模式 下 的 ESP、 传 输 模式 下 的 AH 和 隧道 模式 下 的 AH。 
两 种 工作 模式 可 以 肉 套 使 用 ,以 实现 多 层次 的 安全 保障 。 


1 传输 模式 

@ 保护 方式 : IP 头 与 上 层 协议 头 之 间 需 插入 一 个 特殊 的 IPSec 头 。 

@ 对 IP 包 的 部 分 信息 提供 安全 保护 , 即 对 IP 数据 包 的 上 层 数 据 (TCP .UDP ICMP 
消息 等 ) 提 供 安 全 保护 。 

@ 采用 AH 传输 模式 ,主要 为 IP 数据 包 (IP 头 中 的 可 变 信 息 除 外 ) 提 供认 证 保护 。 

@ 采用 ESP 传输 模式 ,对 IP 数据 包 的 上 层 信息 提供 加 密 和 认证 双重 保护 。 

@ 安全 通道 上 的 传输 是 端 到 端的 ,IPSec 在 端点 执行 加 密 和 认证 ,主机 必须 配置 
IPSec。 

IPSec 传输 模式 的 IP 数据 报 格式 如 图 7-6 所 示 。 在 通常 情况 下 ,传输 模式 只 用 于 两 
台 主 机 之 间 的 安全 通信 。 











新 增 的 保护 头 受 保护 的 内 容 
IP 头 ”| IPsec 天 TCP 头 | 数据 

















7-6 IPSec 传输 模式 的 IP 数据 报 格式 


2 隧道 模式 
Q@ 保护 方式 : 要 保护 的 整个 IP 包 都 需 封 装 到 另 一 个 IP 数据 报 中 ,同时 在 外 部 与 内 
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部 IP 头 之 间 插 入 一 个 IPSec 头 ,为 新 的 IP 数据 包 提供 安全 保护 。 

@ 对 整个 IP 数据 包 提 供 保护 。 

@ 采用 AH 隧道 模式 ,为 整个 IP 数据 包 提供 认证 保护 (可 变 字段 除外 ) 。 

@ 采用 ESP 隧道 模式 ,为 整个 IP 数据 包 提供 加 密 和 认证 双重 保护 。 

@ 隧道 终点 即 为 安全 性 网 关 , 即 此 网 关 和 目的 主机 之 间 的 通信 是 安全 的 ,其 思想 是 
先 将 数据 包 通过 IPSec 策略 传送 到 安全 性 网 关 , 再 由 安全 性 网 关 正常 传送 到 目的 主机 。 

IPSec 隧道 模式 的 IP 数据 报 格式 如 图 7-7 所 示 , 所 有 原始 的 或 内 部 包 通 过 这 个 隧道 
从 IP 网 的 一 端 传递 到 另 一 端 ,沿途 的 路 由 器 只 检查 最 外 面 的 IP 报头 ,不 检查 内 部 原来 的 
卫 报 头 。 由 于 增加 了 一 个 新 的 IP 报头 ,因此 新 卫 报 文 的 目的 地 址 可 能 与 原来 的 不 一 致 。 





新 增 的 保护 头 受 保护 的 内 容 


区 全 | 
3 
新 IP 头 | IPSec 头 IP 头 TCP 头 数据 


7-7 IPSec 隧道 模式 的 IP 数据 报 格式 


图 7-8 给 出 了 具体 的 实例 ,描述 了 IPSec 的 传输 模式 : 在 漫游 主机 A 和 单位 内 部 网 
络 下 主机 B 或 主机 C 之 间 利 用 传输 模式 下 的 ESP 提供 端 对 端的 安全 保护 。 









































原 IP 头 | ESP 头 | TCP 或 UDP 头 数据 











7-8 IPSec 保护 下 的 端 对 端 通信 


在 IPSec 传输 模式 中 如 果 需 要 同时 使 用 AH 和 ESP, 它 们 的 使 用 次 序 是 很 重要 的 。 
应 先 使 用 ESP, 再 用 AH 对 保护 后 的 数据 包 重 新 保护 ,这 样 就 会 在 ESP 的 整个 载荷 上 同 
时 实现 数据 的 完整 性 。 如 果 先 用 AH 保护 ,再 用 ESP, 而 ESP 头 是 在 AH 之 后 添加 的 , 则 
由 AH 提供 的 数据 完整 性 便 只 适用 于 传输 载荷 ,不 能 保护 ESP 头 ,与 所 期 望 的 尽 可 能 多 
地 以 数据 为 基础 计算 出 数据 的 完整 性 不 相符 合 , 这 样 不 能 达到 完整 性 保护 的 目的 。 


724 IPSec 协议 工作 原理 


IPSec 协议 的 基本 运行 原理 类 似 于 包 过 滤 防 火 墙 ,可 以 看 作对 包 过 滤 防 火 墙 的 一 种 
扩展 。 当 接收 到 一 个 IP 数据 包 时 , 包 过 滤 防 火 墙 使 用 其 头 部 在 一 个 规则 表 中 进行 匹配 。 
当 找 到 一 个 相 匹 配 的 规则 时 , 包 过 滤 防 火 墙 就 按照 该 规则 制定 的 方法 对 接收 到 的 IP 数据 
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包 进 行 处 理 。 这 里 的 处 理工 作 只 有 两 种 : 丢弃 或 转发 。IPSec 通过 查询 SPD(Security 
Policy Database, 安 全 策略 数据 库 ) 决 定 对 接收 到 的 IP 数据 包 的 处 理 。 但 是 IPSec 不 同 
于 包 过 滤 防 火 墙 的 是 : 对 IP 数据 包 的 处 理 方法 除了 丢弃 或 直接 转发 ( 绕 过 IPSec) 外 ,还 
有 一 种 , 即 进行 IPSec 处 理 。 正 是 这 新 增添 的 处 理 方法 提供 了 比 包 过 滤 防 火 墙 更 进一步 
的 网 络 安全 性 。 

进行 IPSec 处 理 意 味 着 对 IP 数据 包 进 行 加 密 和 认证 。 包 过 滤 防 火 墙 只 能 控制 来 自 
或 去 往 某 个 站 点 的 IP 数据 包 的 通过 ,可 以 拒绝 来 自 某 个 外 部 站 点 的 IP 数据 包 访 问 内 部 
某 些 站 点 ,也 可 以 拒绝 某 个 内 部 站 点 对 某 些 外 部 网 站 的 访问 。 但 是 , 包 过 滤 防 火 墙 不 能 保 
证 自 内 部 网 络 出 去 的 数据 包 不 被 截取 ,也 不 能 保证 进入 内 部 网 络 的 数据 包 未 经 过 纂 改 。 
只 有 在 对 IP 数据 包 实 施 了 加 密 和 认证 后 ,才能 保证 在 外 部 网 络 传输 的 数据 包 的 机 密 性 、 
真实 性 和 完整 性 ,通过 Internet 进行 安全 的 通信 才 成 为 可 能 。IPSec 既 可 以 只 对 IP 数据 
包 进 行 加 密 或 只 进行 认证 ,也 可 以 同时 实施 二 者 。 

IPSec 规定 了 如 何在 对 等 层 之 间 选 择 安全 协议 .确定 安全 算法 和 密 钥 交换 ,向 上 提供 
了 访问 控制 .数据 源 认证 、 数 据 加 密 等 网 络 安全 服务 。 

例 7-1 为 了 更 好 地 理解 IPSec 体系 结构 中 各 类 协议 的 作用 ,根据 图 7-9 所 示 的 
IPSec 工作 模型 图 ,说 明 IPSec 工作 流程 。 


SA 协商 
“时 
| TCP/UDP 传 输 层 
| 


IPSec 驱动 程序 上 













tT 主机 B 
[EEC 
IPSec 驱动 程序 











7-9 IPSec 工作 模型 图 


为 简单 起 见 ,假设 这 是 一 个 Intranet 例子 .每 台 主 机 都 有 处 于 激活 状态 的 IPSec 策 
略 , 下 面 为 IPSec 协议 的 一 个 完整 工作 步 又。 

Q@ 用 户 甲 (在 主机 A 上 ) 向 用 户 乙 ( 在 主机 B 上 ) 发 送 一 条 消息 。 

@ 主机 A 上 的 IPSec 驱动 程序 检查 IP 筛选 器 ,查看 数据 包 是 否 需 要 受 保 护 以 及 需 
要 受到 何 种 保护 。 

@ 驱动 程序 通知 IKE 开始 安全 协商 。 

@ 主 机 B 上 的 IKE 收 到 请 求 安全 协商 通知 。 

@ 两 台 主 机 建立 第 一 阶段 SA, 各 自生 成 共享 “ 主 密 钥 ”( 若 两 机 在 此 前 通信 中 已 经 建 
立 起 第 一 阶段 SA, 则 可 直接 进行 第 二 阶段 SA 协商 ) 。 

G 协商 建立 第 二 阶段 SA 对 : 入 站 SA 和 出 站 SA。SA 包括 密 钥 和 SPI。 

@ 主机 A 上 IPSec 驱动 程序 使 用 出 站 SA 对 数据 包 进 行 签 名 (完整 性 检查 ) 与 /或 加 密 。 
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驱动 程序 将 数据 包 提交 给 IP 层 . 再 由 IP 层 将 数据 包 转 发 至 主机 B。 

@ 主机 B 网 络 适配器 驱动 程序 收 到 数据 包 并 提交 给 IPSec 驱动 程序 。 

@@ 主机 B 上 的 IPSec 驱动 程序 使 用 入 站 SA 检查 完整 性 签名 与 /或 对 数据 包 进 行 解密 。 

@ 驱动 程序 将 解密 后 的 数据 包 提交 给 上 层 TCP/IP 驱动 程序 ,再 由 TCP/IP 驱动 程 
序 将 数据 包 提交 给 主机 B 的 接收 应 用 程序 。 

以 上 是 IPSec 的 一 个 完整 工作 流程 ,虽然 看 起 来 很 复杂 ,但 所 有 操作 对 用 户 是 完全 透 
明 的 。 中 介 路 由 器 或 转发 器 仅 负责 数据 包 的 转发 ,如 果 中 途 遇 到 防火 墙 、 安 全 路 由 器 或 代 
理 服 务 器 , 则 要 求 它 们 具有 IP 转发 功能 ,以 确保 IPSec 和 IKE 数据 流 不 会 遭 到 拒绝 。 

这 里 需要 指出 的 是 ,使 用 IPSec 保护 的 数据 包 不 能 通过 网 络 地 址 译 码 NAT。 因 为 
IKE 协商 中 所 携带 的 IP 地 址 是 不 能 被 NAT 改变 的 ,对 地 址 的 任何 修改 都 会 导致 完整 性 
检查 失效 。 
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731 电子 邮件 的 安全 简介 


1 电子 邮件 的 安全 隐患 

电子 邮件 是 最 广泛 的 网 络 应 用 ,也 是 在 异 构 网 络 环境 下 唯一 跨 平台 的 、 通 用 的 分 布 系 
统 。 针 对 电子 邮件 的 攻击 分 为 两 种 : 一 种 是 直接 对 电子 邮件 的 攻击 ,如 窃取 电子 邮件 密 
码 ,截获 发 送 邮 件 内 容 、 发 送 邮 件 炸 弹 ; 另 一 种 是 间接 对 电子 邮件 的 攻击 ,如 通过 邮件 传 
输 病毒 木马 。 产 生 电 子 邮 件 安 全 隐患 主要 有 三 个 方面 : 

@ 电子 邮件 传送 协议 自身 的 先天 安全 隐患 。 电 子 邮件 传输 采用 的 是 SMTP 协议 
〈 即 简单 邮件 传输 协议 ) , 它 传输 的 数据 没有 经 过 任何 加 密 , 只 要 攻击 者 在 其 传输 途中 把 它 
截获 即 可 知道 内 容 。 

@ 由 邮件 接收 端 软件 的 设计 缺陷 导致 的 安全 隐患 。 例 如 ,微软 的 Outlook 曾 存在 的 
安全 隐患 ,攻击 者 通过 编制 特定 代码 让 木马 或 者 病毒 自动 运行 。 

@ 用 户 个 人 的 原因 造成 的 安全 隐患 。 


2 电子 邮件 的 安全 技术 

(1) 传输 层 的 安全 电子 邮件 技术 

电子 邮件 包括 信 头 和 信 体 。 信 头 由 于 邮件 传输 中 寻 址 和 路 由 的 需要 ,必须 保证 不 变 。 
目前 ,主要 有 两 种 方式 能 够 实现 电子 邮件 在 传输 中 的 安全 : 一 种 是 利用 SSL SMTP 和 
SSL POP; 另 一 种 是 利用 VPN 或 者 其 他 IP 通道 技术 。 

(2) 电子 邮件 加 密 

电子 邮件 加 密实 质 上 是 一 种 限制 对 网 络 上 传输 数据 访问 权 的 技术 。 加 密 的 基本 功能 
包括 : 

QO@ 防止 不 速 之 客 查 看 机 密 的 数据 文件 。 

@ 防止 机 密 数 据 被 泄露 或 算 改 。 
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防止 特权 用 户 ( 如 系统 管理 员 ) 查 看 私人 数据 文件 。 

@ 使 人 侵 者 不 能 轻易 地 查找 一 个 数据 文件 。 

(3) 端 到 端 安全 电子 邮件 技术 

端 到 端 安全 电子 邮件 技术 一 般 只 对 信 体 进行 加 密 和 签名 ,以 保证 邮件 从 发 出 到 被 接 
收 的 整个 过 程 中 内 容 无 法 被 修改 ,并 且 具 备 不 可 否认 性 。PGP 和 S/MIME(Secure/ 
Multipurpose Internet Mail Extensions) 是 目前 IETF 推出 的 两 种 成 熟 的 端 到 端 安全 电子 
邮件 标准 。PGP 倾向 于 为 用 户 提供 电子 邮件 的 安全 性 ,而 S/MIME 则 侧重 于 作为 商业 
和 团体 使 用 的 工业 标准 。 


32 PEP 


1. POP 介绍 

PGP 是 美国 人 Phil Zimmerman 研究 出 来 的 , 它 由 多 种 加 密 算法 (IDEA、RSA、MD5、 
随机 数 生成 算法 ) 组 合 而 成 ,不 但 能 够 实现 邮件 的 保密 功能 ,还 可 以 对 邮件 进行 数字 签名 ， 
使 收 信 人 能 够 准确 判断 邮件 在 传递 过 程 中 是 否 被 非法 算 改 。 

PGP 使 用 的 算法 经 过 充分 的 公众 检验 ,被 认为 是 非常 安全 的 算法 , 且 PGP 应 用 范围 
广泛 , 既 可 以 作为 公司 、 团 体 中 加 密 文 件 时 所 选择 的 标准 模式 ,也 可 以 对 互联 网 或 其 他 网 
络 用 户 个 人 间 的 消息 通信 和 加密。 所 以 PGP 的 应 用 呈 爆 炸 式 增长 且 迅 速 普及 ,已 成 为 标准 
文档 (RFC 3156)。 


2 PCP 工作 原理 

PGP 加 密 算法 是 Internet 上 最 广泛 的 一 种 基于 公开 密 钥 的 混合 加 密 算法 , 它 的 产生 
与 其 他 加 密 算法 是 分 不 开 的 。 以 往 的 加 密 算法 各 有 长 处 ,也 存在 一 定 的 缺点 。PGP 加 密 
算法 综合 了 它们 的 长 处 ,避免 了 一 些 丙 端 ,创造 性 地 把 RSA 公 钥 体系 的 方便 和 传统 加 密 
体系 的 高 速度 结合 起 来 ,并 在 数字 签名 和 密 钥 认 证 管理 机 制 上 有 巧妙 的 设计 ,在 安全 和 性 
能 上 都 有 了 长 足 的 进步 。 

PGP 加 密 算法 包括 四 个 方面 。 

QO 一 个 单 钥 加 密 算法 (IDEA)。IDEA 是 PGP 加 密 文件 时 使 用 的 算法 。 发 送 者 在 传 
送 消息 时 ,使 用 该 算法 加 密 获得 密 文 ,而 加 密使 用 的 密 钥 将 由 随机 数 产 生 器 产生 。 

@ 一 个 公 钥 加 密 算法 (RSA)。 公 钥 加 密 算法 用 于 生成 用 户 的 私人 密 钥 和 公开 密 钥 、 
加 密 / 签 名 文件 。 

G) 一 个 单 向 散 列 算法 (MD5)。 为 了 提高 消息 发 送 的 机 密 性 ,在 PGP 中 ,MD5 用 于 
单 向 变换 用 户口 令 和 对 信息 签名 ,以 保证 信件 内 容 无 法 被 修改 。 

@ 一 个 随机 数 产生 器 。PGP 使 用 两 个 伪 随 机 数 发 生 器 : 一 个 是 ANSI X9. 17 发 生 
器 ; 另 一 个 是 从 用 户 击 键 的 时 间 和 序列 中 计算 炉 值 从 而 引入 随机 性 。 它 们 主要 用 于 产生 
对 称 加 密 算法 中 的 密 钥 。 

3 PGP 提供 的 安全 业务 

PGP 提供 的 安全 业务 主要 包括 认证 ,加 密 、 压 缩 \ 电 子 邮 件 兼 容 性 和 数据 分 段 , 如 
表 7-1 所 示 。 
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表 7-1 PGP 提供 的 安全 业务 


安全 业务 使 用 的 算法 描 述 
用 MD5 或 SHA-1 创建 报 文 摘要 。 用 发 送 者 的 私 钥 
认证 (数字 签名 ) | RSA 或 DSS,MD5 或 SHA| 以 DSS 或 RSA 对 报 文摘 要 进行 加 密 , 并 且 包 含 在 报 
文中 
CAST 或 IDEA 或 三 重 | 发 送 者 生成 的 一 次 性 会 话 密 钥 ,用 会 话 密 钥 以 
加 密 ( 报 文 加 密 ) | DES, 带 有 Diffie Hellman| CAST-128 或 IDEA 或 三 重 DES 加 密 消 息 ,并 用 接 
算法 或 RSA 收 者 的 公 钥 以 DH 密 钥 或 RSA 加 密会 话 密 钥 
压缩 ZIP 报 文 可 以 使 用 ZIP 进行 压缩 ,用 于 存储 或 传输 

对 电子 邮件 的 应 用 提供 透明 性 ,将 加 密 的 报 文 用 
电子 邮件 兼容 性 | Radix 64 变换 Radix 64 变换 为 ASCII 字符 串 
为 了 满足 最 大 报 文 长 度 的 限制 ,PGP 完成 报 文 的 分 
段 和 重组 

















数据 分 段 一 








其 中 PGP 功能 符号 说 明 如 下 。 

ks: 会 话 密 钥 ; SK : 用 户 A 的 私 钥 ; PKa: 用 户 A 的 公 钥 ; EP: 公 钥 加 密 ; DP: 公 
钥 解 密 ; EC: 常规 加 密 ; DC: 常规 解密 ; 互 : 散 列 函 数 ; ‖ : 连接 ; Z: 用 ZIP 算法 数据 压 
缩 ; R64: 用 Radix 64 转换 为 ASCII 格式 。 下 面 对 PGP 提供 的 安全 业务 进行 详细 描述 。 

(1) 认证 

认证 即 数字 签名 ,由 发 送 方 和 接收 方 两 部 分 构成 ,如 图 7-10 所 示 。 


EPsxr ,LH(M)] PKA 


























图 7-10 认证 

发 送 方 : 

J@ 发 信人 创建 信息 M。 

@ 发 信人 使 用 MD5 算法 对 M 产 生 128 位 的 消息 摘要 五 (或 用 SHA-1 对 M 生成 一 
个 160 位 的 消息 摘要 H)。 

@ 发 信人 用 自己 的 私 钥 ,采用 RSA 算法 对 互 进行 加 密 EP, 并 与 M 连接 (M | ER)， 
之 后 进行 压缩 得 到 QZ。 

@ 将 Z 通 过 互联 网 发 送出 去 。 

接收 方 : 

Q@ 接收 者 收 到 信息 后 首先 进行 解压 Z ,使 用 发 信人 的 公 钥 采用 RSA 算法 进行 解 
密 得 出 腥 。 

@ 用 接收 到 的 M 计算 新 的 消息 摘要 互 。 

名 将 得 出 的 两 个 互 进行 比较 ,如 果 相 同 则 接收 ,否则 表示 被 自 改 ,拒绝 。 
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PGP 实现 认证 时 ,RSA 的 强度 保证 了 发 送 方 的 身份 ,SHA-1 的 强度 保证 了 签名 的 有 
效 性 。 签 名 与 消息 可 以 分 离 , 即 对 消息 可 进行 单独 的 日 志 记 录 , 可 检查 可 执行 程序 的 病毒 
以 及 对 文档 实现 多 方 签名 ,避免 了 典 套 签名 。 

(2) 加 密 

加 密 即 保护 通信 双方 的 会 话 信 息 , 如 图 7-11 所 示 。 


PKa Eppx,(ks) 








M 





























图 7-11 机 密 性 

发 送 方 : 

Q@ 生成 消息 M 并 为 该 消息 生成 一 个 随机 数 作为 会 话 密 钥 s。 

@ 发 信人 对 信息 M 进行 压缩 。 

@ 采用 IDEA 算法 以 会 话 密 钥 ks 加 密 压 缩 后 的 M 。 

@ 用 接收 者 的 公 钥 对 会 话 密 钥 进行 加 密 并 与 已 加 密 的 消息 M 进行 连接 后 发 出 。 

接收 方 : 

Q@ 接收 者 采用 RSA 算法 ,用 自己 的 私 钥 解 密 恢复 会 话 密 钥 ks。 

@ 采用 IDEA 算法 以 用 会 话 密 钥 ks 解密 消息 M 并 解压 缩 ,得 到 原文 。 

在 加 密 过 程 中 ,由 于 信息 相对 内 容 较 多 ,因此 对 信息 的 加 密 采用 的 是 加 密 速度 快 的 对 
称 加 密 算法 IDEA( 或 CAST-128 .三重 DES) .64 位 CFB( 密 码 反 馈 ) 工 作 模式 来 实现 ,而 
密 钥 采用 的 是 安全 强度 较 高 的 非 对 称 加 密 算法 RSA( 长 度 为 768 一 3072) 实 现 。 

通过 IDEA 和 RSA 结合 ,不 但 提高 了 邮件 传输 的 安全 性 ,而且 缩短 了 加 解密 时 间 。 
此 外 ,每 个 消息 都 有 自己 的 一 次 性 密 钥 ,每 个 密 钥 只 加 密 很 小 部 分 的 明文 内 容 , 进 一 步 增 
强 了 保密 强度 。 而 公 钥 算法 的 使 用 也 解决 了 会 话 密 钥 的 分 配 问题 , 即 不 再 需要 专门 的 会 
话 密 钥 交换 协议 。 

对 报 文 可 以 同时 使 用 认证 和 加 密 两 个 服务 。 发 送 者 首先 用 自己 的 私 钥 为 明文 生成 签 
名 并 附加 到 报 文 首 部 ,然后 使 用 IDEA 对 明文 和 报 文 进行 签名 和 加 密 , 再 通过 RSA 算法 
使 用 接收 者 的 公 钥 对 会 话 密 钥 进行 加 密 , 如 图 7-12 所 示 。 

在 这 里 要 注意 次 序 ,一 般 采 用 先 签名 后 加 密 的 方式 ,这 样 的 好 处 是 : 存储 对 消息 明文 
的 签名 较为 方便 。 第 三 者 证 实时 ,无 须知 道 通信 者 所 用 的 IDEA 的 会 话 密 钥 ks。 如 果 先 
加 密 再 签名 ,别人 可 以 将 签名 去 掉 后 加 上 自己 的 签名 ,从 而 算 改 签名 。 

(3) 压缩 

PGP 在 压缩 之 前 先 对 明文 生成 签名 ,这 样 最 后 验证 时 无 须 压缩 , 即 保存 的 是 未 压缩 
的 消息 和 签名 供 未 来 验证 时 使 用 。 生 成 签名 后 使 用 PKZIP 算法 对 加 密 前 的 明文 进行 预 
压缩 处 理 。 
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EPsk (FH(M)) 
































7-12 ”认证 与 加 密 功能 同时 工作 


一 方面 ,对 电子 邮件 而 言 ,压缩 后 再 经 过 Radix 64 编码 有 可 能 比 明文 更 短 , 这 就 节省 
了 网 络 传输 的 时 间 和 存储 空间 ; 另 一 方面 ,明文 经 过 压缩 ,实际 上 相当 于 经 过 一 次 变换 ， 
压缩 后 元 余 信息 比 原文 少 ,对 明文 更 难 分 析 , 对 攻击 的 抵御 能 力 更 强 。 

(4) E-mail 兼容 性 

签名 和 加 密 得 到 的 部 分 或 全 部 数据 块 可 能 由 任意 的 8 比特 字 节 流 组 成 。 然 而 ,许多 
电子 邮件 系统 仅仅 允许 使 用 由 ASCII 码 组 成 的 块 。 为 适应 这 个 限制 ,PGP 提供 了 将 原始 
8 比特 二 进 制 流转 换 为 可 打印 的 ASCII 码 字符 的 功能 。 提 供 这 一 服务 的 模式 称 为 Radix 
64 转换 。Radix 64 转换 将 一 组 3 个 8 比特 二 进 制 数据 映射 为 4 个 ASCII 码 字符 ,同时 加 
上 CRC 校 验 以 检测 传送 错误 ,导致 消息 大 小 增加 33% ,而 压缩 本 身 平 均 压缩 2. 0, 因 此 总 
体 大 约 压缩 1/3。 图 7-13 中 PGP 消息 的 传送 与 接收 阐述 了 与 电子 邮件 的 兼容 性 。 





基于 Radix 64 转 换 
XR64- [XY] 






























Ks Dsxk[Epk[ks]] 
XDilE LX] 



















































































解压 缩 
Y XZ-1(X) 
XEp[ks]llEa LX] 

N 1 取出 

基于 Radix 64 转 换 f 验 证 
Xe—R64[LY] 
图 7-13 PGP 消息 的 传送 与 接收 

(5) 数据 分 段 


电子 邮件 设施 经 常 受 限 于 最 大 报 文 长 度 (50 000 个 )8 位 组 的 限制 , 当 大 于 所 限制 的 
长 度 时 要 进行 分 段 。 分 段 是 在 所 有 其 他 处 理 ( 包 括 Radix 64 转换 ) 完 成 后 才 进 行 , 因 此 ， 
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会 话 密 钥 部 分 和 签名 部 分 只 在 第 一 个 报 文 段 的 开始 位 置 出 现 一 次 。 在 接收 端 ,PGP 必须 
剥 掉 电 子 邮 件 首 部 ,并 且 重 新 装配 成 原来 完整 的 分 组 。 


4 PGP 密 钥 管理 

PGP 包含 四 种 密 钥 : 一 次 性 会 话 密 钥 .公开 密 钥 ,私有 密 钥 和 基于 口令 短语 的 常规 
密 钥 。 

用 户 使 用 PGP 时 ,应 该 首先 生成 一 个 公开 /私有 密 钥 对 。PGP 将 公开 密 钥 和 私有 密 
钥 用 两 个 文件 存储 ,一 个 用 来 存储 该 用 户 的 公开 /私有 密 钥 , 成 为 私有 密 钥 环 ; 另 一 个 用 
来 存储 其 他 用 户 的 公开 密 钥 ,成 为 公开 密 钥 环 。 

为 了 确保 只 有 该 用 户 可 以 访问 私有 密 钥 环 ,PGP 采用 了 比较 简洁 和 有 效 的 算法 。 当 
用 户 使 用 RSA 生成 一 个 新 的 公开 /私有 密 钥 对 时 ,输入 一 个 口令 短语 ,然后 用 散 列 算法 
(例如 SHA-1) 生 成 该 口令 的 散 列 编码 ,将 其 作为 密 钥 , 采 用 CAST-128 等 常规 加 密 算 法 
对 私有 密 钥 加 密 ,存储 在 私有 密 钥 环 中 。 当 用 户 访问 私有 密 钥 时 ,必须 提供 相应 的 口令 短 
语 , 然 后 PGP 根据 口令 短语 获得 散 列 编码 ,将 其 作为 密 钥 , 对 加 密 的 私有 密 钥 解密 。 通 过 
这 种 方式 ,就 保证 了 系统 的 安全 性 依赖 于 口令 的 安全 性 。 

双方 使 用 一 次 性 会 话 密 钥 对 每 次 会 话 内容 进 行 加 密 。 这 个 密 钥 本 身 是 基于 用 户 鼠 标 
和 键盘 击 键 时 间 而 产生 的 随机 数 。 每 次 会 话 的 密 钥 均 不 同 。 这 个 密 钥 经 过 RSA 加 密 后 
和 明文 一 起 传送 到 对 方 。 

例 7-2 PGP 协议 的 邮件 发 送 过 程 : 图 7-14 通过 演示 Alice 如 何 发 邮件 给 Bob ,来 说 
明 PGP 协议 的 邮件 的 工作 过 程 。 假 定 双方 都 持 有 各 自 的 自由 公 钥 算法 所 界定 的 私密 密 
钥 SKA 和 SKs ,同时 相互 持 有 对 方 的 公 钥 PKA 和 PKs。 

发 送 者 Alice 的 动作 如 下 。 

发 送 方 Alice 对 邮件 明文 M 利用 MD5 报 文 摘要 算法 计算 获得 固定 长 度 的 128b 信 
息 摘 要 ,然后 利用 其 持 有 的 RSA 私密 密 钥 SKA 对 信息 摘要 签名 加 密 得 到 H。 

将 五 与 明文 M 拼接 成 Ml ,注意 此 时 M 并 没有 加 密 , 只 对 摘要 数据 进行 了 加 密 。 

M1 经 过 ZIP 压缩 后 得 到 压缩 文件 M1. ZIP。 

对 M1. ZIP 进行 IDEA 加 密 运算 ,IDEA 是 一 种 分 组 对 称 加 密 算法 , 密 钥 e 长 128b， 
加 密 后 得 到 M2。 同 时 使 用 Bob 的 RSA 公 钥 PKs 对 名 加 密 , 得 到 必 。 

M2 与 必 拼 接 ,再 用 Base64 编码 ,得 到 一 个 ASCII 码 文本 。 这 个 文本 只 含有 52 个 字 
符 、10 个 数字 0 一 9 和 十 .= /三 个 符号 。 此 时 可 将 其 发 送 到 因特网 上 。 

接收 端 Bob 的 动作 如 下 。 

首先 进行 Base64 解码 ; 然后 用 秘密 密 钥 SKs 解 出 IDEA 算法 的 密 钥 & ,并 用 恢 
复出 M1. ZIP; 解压 缩 还 原 出 M1。 

Bob 接着 分 离 明文 M 和 加 了 密 的 摘要 数据 ,然后 用 Alice 的 公 钥 PK 解除 摘要 数据 
的 加 密 , 获 得 及 。 

Bob 同时 要 对 明文 M 进行 MD5 摘要 算法 运算 ,运算 的 结果 和 玉 进行 比较 ,如 果 相 
同 , 则 证 明 邮 件 报 文 在 传递 过 程 中 未 经 改变 ,邮件 确实 为 Alice 所 发 。 
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733 SMNE 


S/MIME 是 “安全 通用 Internet 邮件 扩充 (Secure/Multipurpose Internet Mail 
Extension) ”的 简称 ,是 在 MIME(Internet 邮件 的 附件 标准 ) 基 础 上 发 展 而 来 的 。 

MIME 允许 对 其 Content-Type 进行 扩充 ,S/MIME 就 是 在 其 基础 上 增加 了 几 种 新 
的 MIME 子 类 型 : multipart/signed、application/x-pkcs7-signature、application/x-pkcs7- 
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(b) 接送 端 处 理 过 程 框图 


7-14 ”PGP 邮件 发 送 过 程 示例 图 


S/MIME multipart 子 类 型 包括 在 multipart 混合 类 型 中 加 入 一 个 子 类 型 。signed 签 
名 子 类 型 标识 一 封 签 过 名 的 邮件 ,这 种 邮件 由 两 部 分 组 成 : 标准 邮件 部 分 和 数字 签名 。 
这 种 方法 并 不 对 邮件 进行 加 密 ,因此 不 具备 S/MIME 功能 的 邮件 软件 也 可 以 阅读 。 此 时 
整体 的 内 容 类 型 字段 content-type 将 邮件 定义 为 multipart/signed 类 型 。 

S/MIME application 子 类 型 创建 的 pkcs7-mime 应 用 子 类 型 提供 了 一 些 邮 件 安全 功 
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能 ,每 种 功能 使 用 pkcs7-mime 子 类 型 中 的 一 个 单独 的 参数 ,通过 smime-type 标志 来 确 
定 ,smime-type 参数 值 有 signed Data .enveloped Data 等 。 

图 7-15 显示 的 就 是 加 密 和 签名 的 S/MIME 电子 邮件 格式 , 当 MIME 类 型 为 
application/x-pkcs7-mime; smime-type 二 enveloped-data 时 ,表示 加 密 邮 件 ; 当 MIME 类 
型 为 multipart/signed 时 ,表示 签名 邮件 。 当 然 也 可 以 对 邮件 进行 复合 ,形成 既 加 密 又 签 
名 的 邮件 。 邮 件 格式 不 止 这 一 种 形式 。 














content-type: 
application/x-pkcs7-mime 
smime-type:enveloped-data 


content-type:multipart/signed 














content-type:<any> 
MIME 实 体 可 能 是 简单 类 型 
也 可 能 是 复合 类 型 
content-type:application/x-pkcs7- 
Signature 


CMS 格式 的 签名 信息 ， 
一 般 经 过 Base64 编 码 


7-15 ”S/MIME 格式 的 安全 电子 邮件 : 加 密 邮件 和 签名 邮件 














CMS 格式 经 过 加 密 的 MIME 
实体 ， 一 般 经 过 Base64 编 码 
































1 SMNE 功能 

(1) 加 密 的 数据 

这 一 功能 允许 用 对 称 密码 加 密 一 个 MIME 消息 中 的 任何 内 容 类 型 ,从 而 支持 保密 性 
服务 。 然 后 用 一 个 或 多 个 接收 者 的 公 钥 加 密 对 称 密 钥 。 接 着 将 加 密 的 数据 和 加 密 的 对 称 
密 钥 以 及 任何 必要 的 接收 者 标识 符 和 算法 标识 符 一 起 附加 在 数据 结构 的 后 面 。 

(2) 签名 的 数据 

这 一 功能 提供 完整 性 服务 。 发 送 者 对 选 定 的 内 容 计 算 消 息 摘 要 ,然后 用 签名 者 的 私 
钥 加 密 。 初 始 的 内 容 以 及 它 的 相应 签名 用 Base64 编码 。 

(3) 清澈 签名 的 数据 

和 签名 数据 一 样 形成 内 容 的 数字 签名 。 但 是 这 种 情况 只 有 数字 签名 部 分 使 用 
Base64 进行 编码 ,因此 没有 S/MIME 功能 的 接收 者 只 能 看 到 报 文 的 内 容 , 但 不 能 验证 
签名 。 

(4) 签名 且 加 密 的 数据 

这 一 功能 允许 签名 已 加 密 的 数据 或 者 加 密 已 签名 的 数据 来 提供 保密 性 和 完整 性 
服务 。 


2 SMNE 中 密码 算法 的 应 用 
表 7-2 总 结 了 S/MIME 中 使 用 的 加 密 算法 。S/MIME 使 用 了 下 面 两 个 取 自 RFC 
2119 的 术语 来 说 明 级 别 的 要 求 。 
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表 7-2 S/MIME 中 使 用 的 加 密 算法 

















功 能 需 求 
创建 用 于 形成 数字 签名 的 报 文 | 必须 支持 SHA-1 和 MD5 
摘要 算法 但 是 应 该 使 用 SHA-1 
发 送 和 接收 代理 必须 支持 DSS 
. 发 送 和 接收 代理 应 该 支持 RSA 加 密 
各 颖 报 闵 消 要 以 形成 装 寺 区 名 接收 代理 应 该 支持 使 用 长 度 为 512 一 1024 比特 的 密 钥 来 验证 
RSA 的 签名 
发 送 和 接收 代理 必须 支持 DH 密 钥 
加 密会 话 密 钥 和 报 文 一 起 传送 ”| 发 送 代理 应 该 支持 使 用 长 度 为 512 一 1024 比特 的 RSA 加 密 
接收 代理 应 该 支持 RSA 解密 
使 用 一 次 性 会 话 密 钥 来 加 密 传 | 发 送 代理 应 该 支持 三 重 DES 和 RC2/40 的 加 密 
输 的 报 文 接收 代理 应 该 支持 三 重 DES 的 解密 ,必须 支持 RC2/40 的 解密 


@@ MUST( 必 须 ) : 这 个 定义 是 协议 的 必须 要 求 。 
@ SHOULD( 应 该 ) : 建议 实现 包括 这 个 特征 和 功能 。 


3 SMME 报 文 准 备 过 程 

S/MIME 报 文 准备 的 过 程 是 首先 安全 化 一 个 MIME 实体 ,然后 按照 S/MIME 内 容 
类 型 来 包装 数据 。 

S/MIME 使 用 签名 ,加密 或 同时 使 用 两 者 来 保证 MIME 实体 的 安全 。 一 个 MIME 
实体 可 能 是 一 个 完整 的 报 文 (除了 RFC 822 首部 ); 如 果 MIME 内 容 类 型 是 多 部 分 的 , 那 
么 一 个 MIME 实体 是 报 文 的 一 个 或 多 个 子 部 分 。MIME 实体 按照 MIME 报 文 准备 的 一 
般 规则 来 准备 。 然 后 ,该 MIME 实体 加 上 一 些 与 安全 有 关 的 数据 ,如 算法 标识 符 和 证 书 ， 
被 S/MIME 处 理 以 生成 成 为 pkcs 的 对 象 。 然 后 pkcs 对 象 被 看 作 报 文 内 容 并 包装 成 
MIME。 

S/MIME 内 容 类 型 有 包装 数据 (Enveloped Data) ,签名 数据 (Signed Data) ,清流 签名 
数据 (Clear Signied Data) 和 加 密 且 签名 的 数据 (Enveloped-and-Signed Data) 。 对 不 同 的 
数据 类 型 其 包装 过 程 也 不 一 样 。 


4 SMNE 证 书 的 处 理 

S/MIME 使 用 符合 X. 509 v3 标准 的 公开 密 钥 证 书 。S/MIME 使 用 的 密 钥 管理 方法 
是 严格 的 X. 509 证 明 层 次 和 PGP 的 信任 网 络 的 混合 。S/MIME 的 管理 者 必须 为 用 户 配 
置 可 信任 的 密 钥 表 和 废除 证 书 的 列表 。 证 书 是 认证 机 构 签 名 的 。 

S/MIME 用 户 可 以 完成 如 下 密 钥 管理 功能 。 

@ 密 钥 的 生成 : 一 个 用 户 使 用 与 管理 有 关 的 程序 必须 能 够 生成 单独 的 DH 密 钥 和 
DSS 密 钥 对 ,并 且 应 该 能 够 生成 RSA 密 钥 对 。 每 个 密 钥 对 必须 从 一 个 好 的 不 确定 的 随 
机 输入 源 生 成 并 且 采 用 安全 的 方式 进行 保护 。 用 户 代理 应 该 生成 768 一 1024b 的 密 钥 对 ， 
并 且 一 定 不 能 生成 小 于 512b 的 密 钥 对 。 

@ 注册 : 用 户 的 公开 密 钥 和 认证 一 起 注册 获得 X. 509 公开 密 钥 证 书 。 

191 


mm 信息 安全 技术 El 


@ 证 书 的 存储 和 查询 : 用 户 需要 访问 证 书 的 本 地 列表 来 验证 进入 的 签名 和 输出 的 
报 文 加 密 。 这 样 的 一 张 表 可 以 让 用 户 进行 维护 。 


7.4 Web 的 安全 性 





741 Web 安 全 需求 


Web 本 质 上 是 运行 在 Internet 和 TCP/IP 内 联网 上 的 客户 服务 器 应 用 程序 ,通常 采 
用 基于 HTTP 协议 的 Web 技术 实现 。Web 浏览 器 具有 和 良好 的 图 形 界面 ,集成 了 对 多 种 
应 用 的 支持 。 因 此 ,目前 绝 大 多 数 的 网 络 应 用 服务 都 倾向 于 采用 Web 方式 向 用 户 提供 服 
务 。 作 为 社会 信息 化 重要 标志 的 电子 商务 和 电子 政务 等 ,也 都 是 基于 Web 来 与 用 户 进 行 
交流 的 。 但 是 ,Web 同样 在 其 安全 性 上 也 存在 诸多 弱点 : 

@ Internet 是 双向 的 , Web 服务 器 反攻 击 能 力 非 常 脆弱 。 

@ Web 已 经 成 为 公司 形象 和 产品 信息 的 窗口 和 商业 交互 的 平台 。Web 服务 器 被 破 
坏 ,不 但 会 遭受 经 济 损失 ,企业 形象 和 声誉 也 会 遭受 损害 。 

@ 尽管 Web 浏览 器 非常 容易 使 用 , Web 服务 器 也 容易 配置 和 管理 , Web 内 容 也 越 
来 越 容易 开发 ,但 底层 的 软件 却 异 乎 寻常 的 复杂 。 这 些 复杂 的 软件 可 能 隐藏 了 很 多 潜在 
的 安全 隐患 。Web 短暂 的 发 展 历 史 中 新 的 支持 技术 和 系统 版 本 升级 层出不穷 ,但 对 于 不 
同 的 安全 攻击 却 都 很 脆弱 。 

@@ Web 服务 器 作为 进入 公司 或 机 构 整 个 计算 机 系统 的 门户 ,一 旦 被 破坏 ,攻击 者 可 
以 访问 的 不 仅仅 是 Web 本 身 ,而 且 还 包括 连接 到 本 地 站 点 服务 器 上 的 重要 数据 和 商业 机 
密 信息 。 

@@ 从 安全 的 角度 来 看 ,没有 经 过 训练 的 用 户 是 基于 Web 服务 的 常见 客户 。 这 样 的 
用 户 并 没有 了 解 到 可 能 存在 的 安全 风险 ,并 且 没 有 工具 或 者 很 难 采取 有 效 对 策 来 防止 其 
私人 信息 的 泄密 。 

解决 Web 安全 性 一 般 有 两 种 方法 : 一 种 方法 是 使 用 安全 协议 IPSec。 使 用 IPSec 的 
好 处 在 于 对 于 最 终 用 户 和 应 用 程序 来 说 是 透明 的 ,并 且 提供 了 通用 的 解决 方法 。IPSec 
包括 一 种 过 滤 功 能 ,只 有 选择 过 的 通信 量 才 需 要 IPSec 的 处 理 。 

另 一 种 相对 通用 的 解决 方法 是 在 TCP 上 使 用 SSL(Secure Sockets Layer) 或 TLS 
(Transport Layer Security)。 众 所 周知 ,浏览 Web 网 页 时 使 用 的 一 种 协议 就 是 HTTP， 
但 HTTP 是 以 明文 的 形式 传输 数据 ,因此 使 用 HTTP 协议 传输 隐私 信息 非常 不 安全 。 
为 了 保证 这 些 隐私 数据 能 加 密 传输 ,网 景 公司 设计 了 SSL 用 于 对 HTTP 传输 的 数据 进 
行 加 密 , 从 而 诞生 了 HTTPS。 由 于 一 些 安全 的 原因 ,SSL v1.0 和 SSL v2.0 都 没有 公开 ， 
直到 1996 年 SSL v3. 0 才 得 以 公开 ,被 IETF 定义 在 RFC 6101 中 。TLS v1. 0 建立 在 
SSL v3. 0 协议 规范 之 上 ,是 SSL v3.0 的 升级 版 ,可 以 将 其 理解 为 SSL 3.1。 目 前 TLS 的 
版 本 是 1.2, 定 义 在 RFC 5246 中 。 

实际 上 现在 的 HTTPS 都 是 用 TLS 协议 ,而 不 是 SSL 协议 。 但 是 由 于 SSL 出 现 的 
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时 间 比 较 早 ,并 且 依 旧 被 现在 浏览 器 所 支持 ,因此 SSL 依然 是 HTTPS 的 代名词 。 
742 SSL 协 议 


1. SL 协议 简介 

SSL 协议 是 国际 上 通行 的 银行 卡 密码 校 验 技术 和 标准 之 一 ,又 称 “ 安 全 套 接 层 ” 协 
议 , 是 Netscape 公司 于 1996 年 设计 开发 的 ,主要 用 于 Web 的 安全 传输 协议 ,以 提高 应 用 
程序 之 间 的 数据 安全 系数 。 

SSL 协议 向 基于 TCP/IP 的 客户 /服务 器 应 用 程序 提供 了 客户 端 和 服务 器 的 鉴别 、 数 
据 完整 性 及 信息 机 密 性 等 安全 措施 。 该 协议 通过 在 应 用 程序 进行 数据 交换 前 交换 SSL 
初始 握手 信息 来 实现 有 关 安 全 特性 的 审查 。 在 SSL 握手 信息 中 采用 了 DES、MD5 等 加 
密 技 术 来 实现 机 密 性 和 数据 完整 性 ,并 采用 X. 509 的 数字 证 书 实现 鉴别 。SSL 协议 已 成 
为 事实 上 的 工业 标准 ,在 早期 被 广泛 应 用 于 Internet 和 Intranet 的 服务 器 产品 和 客户 端 
产品 中 。 

SSL 安全 协议 主要 提供 三 方面 的 服务 : 

@ 用 户 和 服务 器 的 合法 性 认证 。 认 证 用 户 和 服务 器 的 合法 性 ,使 得 它们 能 够 确信 数 
据 将 被 发 送 到 正确 的 客户 端 和 服务 器 上 。 客 户 端 和 服务 器 都 有 各 自 的 识别 号 ,这 些 识别 
号 由 公 钥 进行 编号 。 为 了 验证 用 户 是 否 合法 ,SSL 协议 要 求 在 握手 交换 数据 阶段 进行 数 
字 认 证 ,以 此 来 确保 用 户 的 合法 性 。 

@ 加 密 被 传送 的 数据 。SSL 协议 所 采用 的 加 密 技 术 既 有 对 称 密 钥 密码 技术 ,也 有 公 
钥 密码 技术 。 在 客户 端 与 服务 器 进行 数据 交换 之 前 , 先 交 换 SSL 初始 握手 信息 。 在 SSL 
握手 信息 中 采用 了 各 种 加 密 技术 ,以 保证 握手 信息 的 机 密 性 和 完整 性 ,并 且 用 数字 证 书 进 
行 鉴别 ,以 防止 非法 用 户 进 行窃 取 、 算 改 和 冒充 。 

@ 保护 数据 的 完整 性 。SSL 协议 采用 散 列 函数 和 机 密 共享 的 方法 来 提供 信息 完整 
性 服务 ,建立 客户 端 与 服务 器 之 间 的 安全 通道 ,使 所 有 经 过 SSL 协议 处 理 的 业务 在 传输 
过 程 中 能 全 部 准确 无 误 地 到 达 目 的 地 。 














2 SSL 协 议 的 体系 结构 
SSL 协议 是 一 个 中 间 层 协议 ,在 OSI 模型 中 ,SSL 介 
于 传输 层 (如 TCP) 和 应 用 层 之 间 ,为 应 用 程序 提供 一 条 i 
安全 的 网 络 传输 通道 ,提供 TCP/IP 通信 协议 数据 加 密 、 TCF UDP 
客户 端 与 服务 器 端 身份 验证 等 功能 。 它 的 主要 目标 是 在 于 
两 个 通信 应 用 之 间 提供 私密 性 和 可 靠 性 。SSL 的 体系 结 站 








构 如 图 7-16 所 示 。 


3 SSL 协 议 的 原理 

SSL 由 两 个 层次 协议 组 成 : SSL 数据 包 协 议 (SSL Record Protocol) 和 SSL 握手 协议 
(SSL Handshake Protocol) 。SSL 的 优点 是 与 应 用 无 关 , 对 高 层 协议 是 透明 的 。SSL 协 
议 的 层次 结构 如 图 7-17 所 示 。 


7-16 ”SSL 协议 的 体系 结构 
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SSL 记 录 层 协议 
TCP 层 

















IP 层 
底层 协议 














7-17 ”SSL 协议 的 层次 结构 


(1) SSL 握手 协议 

SSL 握手 协议 在 SSL 记录 层 协 议 之 上 ,是 SSL 协议 中 最 复杂 的 协议 。 服 务 器 和 客户 
端 使 用 这 个 协议 相互 鉴别 对 方 的 身份 .协商 加 密 算 法 和 MAC 算法 ,以 及 在 SSL 记录 层 协 
议 中 加 密 数 据 的 加 密 密 钥 和 初始 向 量 。 这 些 过 程 在 握手 协议 中 进行 。 握 手 协 议 是 建立 
SSL 连接 首先 应 该 执行 的 协议 ,必须 在 传输 任何 数据 之 前 完成 。 

根据 功能 特点 ,握手 过 程 基 本 上 可 以 分 成 四 个 阶段 ,如 图 7-18 所 示 。 




















































客户 端 服务 器 
F Client hello 
| 建立 安全 能 力 
Server_hello 
有 certificate 
二 Server_key_exchange 
i 济 Certificate_request 服务 器 鉴别 和 秘 钥 交换 
Server_hello_done 
-一 
certificate 
Client key_exchange 一 各 
Certificate_verify i 客户 端 验 证 和 秘 钥 交换 
-| 
Change_cipher_spec 
finished | 
-| 
Change_cipher_spec 完成 握手 阶段 
-一 
finished 
-一 














图 7-18 客户 端 与 服务 器 的 初始 交换 过 程 
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第 一 阶段 是 建立 安全 能 力 。 主 要 工作 是 建立 一 条 逻辑 连接 ,以 及 与 这 个 连接 有 关 的 
安全 能 力 。 所 谓 建 立 安全 能 力 , 是 指 客户 端 与 服务 器 协商 将 要 在 通信 中 使 用 的 加 密 算法 、 
签名 算法 、 密 钥 交换 算法 .MAC 算法 以 及 其 他 一 些 记录 协议 需要 使 用 的 必要 参数 (如 初 
始 量 ) 等 。 这 个 阶段 由 两 个 参数 相同 的 报 文 组 成 。 一 个 是 Client_hello 报 文 ; 另 一 个 是 
Server_hello 报 文 。 协 议 的 发 起 由 客户 端 送出 一 个 Client_hello 消息 来 开启 。 这 个 阶段 
完成 后 ,就 完成 了 安全 能 力 的 建立 。 

第 二 个 阶段 是 服务 器 鉴别 和 密 钥 交 换 。 如 果 服 务 器 需要 被 鉴别 ,这 个 阶段 将 以 服务 器 
给 客户 端 发 送 自己 的 证 书 开始 执行 。 服 务 器 可 能 向 客户 端 发 送 的 信息 包括 证 书 或 证 书 链 报 
文 . 密 钥 交 换 报 文 ,客户 证 书 请 求 报 文 以 及 证 书 完成 报 文 。 除 了 最 后 一 个 报 文 , 并 非 所 有 报 
文 都 是 必需 的 ,很 多 情况 ,可 能 只 要 发 送 其 中 的 一 个 或 两 个 报 文 即 可 完成 握手 第 二 个 阶段 。 

第 三 个 阶段 是 客户 端 验 证 和 密 钥 交 换 。 收 到 服务 器 证 书 完 成 报 文 后 ,客户 端 首先 验证 
服务 器 是 否 提供 合法 的 证 书 , 检 测 服务 器 的 参数 是 否 可 以 接受 ,如 果 这 些 都 满足 条 件 ,客户 
端 就 向 服务 器 发 送 客户 证 书 报 文 (或 者 无 证 书 告 警 信息 ) 客户 密 钥 交换 报 文 和 证 书 验证 报 
文中 的 一 个 或 多 个 。 除 了 客户 密 钥 交换 报 文 ,其 他 两 个 报 文 在 某 些 情况 下 不 是 必需 的 。 

第 四 阶段 是 完成 握手 阶段 。 这 个 阶段 完成 安全 连接 的 建立 。 首 先是 客户 端 通过 修改 
密 文 协议 发 送 改变 算法 定义 报 文 , 将 挂 起 的 算法 族 定义 复制 到 当前 的 算法 族 定义 。 然 后 
客户 端 立刻 接着 发 送 在 新 的 算法 、 密 钥 和 密码 下 的 完成 报 文 。 服 务 器 对 这 两 个 报 文 的 响 
应 是 发 送 自己 的 改变 算法 定义 报 文 将 挂 起 状态 复制 到 当前 状态 ,并 发 送 完 成 报 文 。 

到 此 为 止 ,握手 协议 完成 ,客户 端 和 服务 器 建立 了 安全 连接 ,应 用 层 协 议 可 以 使 用 
SSL 连接 进行 安全 的 数据 通信 了 。 

(2) SSL 数据 包 协 议 

SSL 数据 包 协议 的 内 容 有 数据 压缩 /解压 ,加密 /解密 改变 加 密约 定 协议 .警报 协议 .出 
错 处 理 等 。 所 做 的 主要 工作 是 用 商定 的 加 密 和 报 文 鉴别 算法 对 发 送 数 据 包 进行 保护 。 

一 旦 握手 协议 完成 ,客户 端 和 服务 器 商定 主 密 钥 、 加 密 和 签名 算法 。 加 密 签名 函数 把 数 
据 转换 成 保密 文本 格式 , 即 SSL 数据 包 。 解 密 函 数 则 逆向 执行 这 一 过 程 , 把 数据 还 原 。 


4 SSL 协 议 的 应 用 

(1) 应 用 模式 1 一 一 匿名 SSL 连接 

客户 端 没有 固定 标识 身份 的 数字 ID, 用 户 可 以 匿名 方式 访问 服务 器 。 服 务 器 是 有 标 
识 站 点 身份 的 数字 ID, 以 便 客户 端 确认 自己 要 去 的 站 点 。 客 户 端 知道 服务 器 的 身份 ,而 
服务 器 不 知道 客户 端 是 谁 。 建 立 SSL“ 连 接 " 时 ,客户 端 先 随机 地 生成 临时 的 公私 钥 对 ,再 
用 这 对 密 钥 进 行 SSL 握手 协议 ,一 个 “会 话 ” 完 成 后 ,这 对 密 钥 就 丢弃 掉 了 。 匿 名 SSL 连 
接 如 图 7-19 所 示 。 

这 种 应 用 在 Internet 上 很 常见 ,典型 的 应 用 是 用 户 在 网 站 进行 注册 时 ,为 防止 私人 信 
息 ( 如 信用 卡号 ,口令 等 ) 汇 露 ,而 用 匿名 SSL 连接 该 网 站 。 这 种 应 用 模式 的 主要 优点 是 
便于 使 用 。 由 于 个 人 数字 ID 的 申请 、 使 用 和 保密 很 麻烦 ,妨碍 了 用 户 使 用 安全 功能 ,匿名 
SSL “连接 ”不 需要 这 些 操 作 ,而 且 主要 的 浏览 器 都 支持 这 种 方式 ,所 以 这 种 方式 很 适合 单 
向 的 安全 数据 传输 应 用 。 
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7-19 匿名 SSL 连接 


(2) 应 用 模式 2 一 一 对 等 安全 服务 

通信 双方 都 可 以 发 起 和 接收 SSL 连接? 请求, 既是 服务 器 又 是 客户 端 。 通 信 双 方 可 
以 是 应 用 程序 .安全 协议 代理 服务 器 等 。 图 7-20 所 示 的 是 一 种 类 似 VPN 的 应 用 ,双方 的 
内 部 通信 可 以 不 用 安全 协议 ,中 间 的 公 网 部 分 用 SSL 协议 连接 。 其 中 ,安全 协议 代理 服 
务 器 相当 于 一 个 加 /解密 网 关 , 把 内 部 对 外 部 网 络 的 访问 转换 为 SSL 数据 包 , 接 收 时 把 
SSL 包 解 密 。 








外 部 用 SSL 协 议 通信 









安全 协议 


Intranet 


安全 协议 
代理 服务 器 


图 7-20 类 似 VPN 的 应 用 


特点 : 不 用 为 每 一 台 主 机 申请 数字 标识 ,简化 了 数字 ID 的 管理 和 使 用 。 

(3) 应 用 模式 3 一 一 网 上 支付 安全 

电子 商务 中 ,要 有 三 方 (顾客 、 商 家 和 银行 ) 参 与 到 一 次 交易 中 。 首 先 通 过 建设 统一 网 
关 , 提 供 银 行 的 统一 接口 ,并 通过 互联 网 与 商家 连接 。 例 如 ,中 国 银联 银行 卡 交换 中 心 , 持 
卡 人 顾客 通过 互联 网 与 商家 建立 连接 ,可 以 采用 非 安全 协议 或 者 SSL 协议 ,实现 点 对 点 
的 连接 和 认证 ; 商家 和 支付 网 关 之 间 采用 SSL 协议 ,实现 点 对 点 的 连接 与 认证 。 此 过 程 
中 ,可 用 SSL 保证 数据 传输 的 安全 性 。 结 合 上 面 介 绍 的 两 种 应 用 模式 ,网 上 交易 的 安全 
方案 如 图 7-21 所 示 。 

可 以 没有 数字 标识 有 数字 标识 有 数字 标识 


A 
顾客 非 安全 协议 或 SSL 商家 SSL 银行 









































7-21 网 上 交易 的 安全 方案 


顾客 基于 商家 和 银行 拥有 和 较 高 信誉 的 假设 ,把 个 人 信息 提供 给 商家 和 银行 ,相信 他 们 
不 会 把 顾客 资料 泄露 出 去 或 盗用 。 商 家 和 银行 之 间 传 送 的 是 顾客 数据 ,互相 验证 对 方 的 
数字 标识 ,使 安全 性 进一步 得 到 保证 。 而 商家 与 顾客 之 间 的 通信 用 匿名 方式 ,兼顾 了 安全 
性 和 易 用 性 。 在 完善 的 电子 商务 协议 实用 化 之 前 ,这 种 应 用 模式 提供 了 一 种 实现 网 上 支 
付 所 需 的 基本 安全 保护 。 

(4) 应 用 模式 4 一 一 扩展 SSL 服务 器 应 用 层 功 能 接口 

对 于 收费 网 站 和 电子 商务 网 站 来 说 ,身份 认证 和 计 费 通常 是 网 站 运营 管理 的 大 问题 。 
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目前 的 一 般 做 法 是 用 户 通 过 Username 和 口令 登录 验证 身份 。 


5 SSL 协议 的 安全 性 

从 SSL 协议 所 提供 的 服务 及 其 工作 流程 可 以 看 出 ,SSL 协议 运行 的 基础 是 商家 对 消 
费 者 信息 保密 的 承诺 ,这 就 有 利于 商家 而 不 利于 消费 者 。 在 电子 商务 初级 阶段 ,由 于 运作 
电子 商务 的 企业 大 多 是 信誉 较 高 的 大 公司 ,因此 这 个 问题 还 没有 充分 暴露 出 来 。 随 着 电 
子 商 务 的 发 展 ,各 中 小 型 公司 也 参与 进来 ,在 电子 支付 过 程 中 的 单一 认证 问题 越 来 越 突 
出 。 虽 然 在 SSL 3. 0 中 通过 数字 签名 和 数字 证 书 可 实现 浏览 器 和 Web 服务 器 双方 的 身 
份 验证 ,但 是 SSL 协议 仍 存在 一 些 问题 ,例如 ,只 能 提供 交易 中 客户 与 服务 器 间 的 双方 认 
证 ,在 涉及 多 方 的 电子 交易 中 ,SSL 协议 并 不 能 协调 各 方 间 的 安全 传输 和 信任 关系 。 在 
这 种 情况 下 ,Visa 和 MasterCard 两 大 信用 卡 组 织 制 定 了 SET 协议 ,为 网 上 信用 卡 支付 
提供 了 全 球 性 的 标准 。 


743 TLS 协 议 


传输 层 安全 协议 (Transport Layer Security Protocol,TLS) 的 设计 目标 是 在 两 个 通 
信和 应 用 程序 之 间 提 供 保密 性 和 数据 完整 性 服务 。 


1. TLS 协 议 结构 

TLS 协议 包括 两 个 协议 组 : TLS 记录 协议 (TLS Record Protocol) 和 TLS 握手 协议 
(TLS Handshake Protocol) 。 每 组 具有 很 多 不 同 格式 的 信息 。TLS 协议 在 TCP/IP 模型 
中 的 位 置 如 图 7-22 所 示 。 





应 用 程序 数据 
TLS 担 手 协议 
TLS 记 录 协 议 
TCP 协 议 
IP 协 议 
底层 协议 























图 7-22 ”TLS 协议 在 TCP/IP 模型 中 的 位 置 


(1) TLS 记录 协议 

TLS 记录 协议 是 一 种 分 层 协 议 , 这 种 协议 被 用 来 封装 几 种 高 层 协 议 ( 如 HTTP、 
SMTP 等 )。 使 用 有 TLS 握手 协议 产生 的 安全 参数 , 它 首先 将 上 层 被 传输 的 数据 分 片 成 
便于 管理 的 块 ,然后 对 数据 有 选择 性 地 压缩 ,计算 出 消息 认证 码 MAC( 如 MD5 或 SHA)， 
加 密 ( 如 DES 三 重 DES 等 ), 最 后 将 结果 送出 。 对 接收 到 的 数据 进行 解密 、 校 验 、 解 压缩 
和 重组 等 ,然后 将 它们 传送 到 高 层 客户 端 。RFC 2246 中 定义 了 TLS 记录 协议 。 

TLS 记录 协议 提供 的 连接 安全 性 具有 两 个 基本 特性 。 

@ 连接 是 私有 的 。 数 据 加 密 采用 对 称 加 密 方式 (DES、RC4 等 ) ,每 次 加 密 的 密 钥 在 
每 次 连接 时 才 通 过 传输 层 握手 协议 等 高 层 协 议 生 成 . 即 不 同 的 连接 有 不 同 的 会 话 密 钥 。 

@ 连接 是 可 靠 的 。 协 议 通 过 消息 认证 检查 (MAC) 来 对 接收 的 消息 的 正确 性 和 完整 

197 





信息 安全 技术 pom 


性 进行 检查 。 

(2) TLS 握手 协议 

TLS 握手 协议 建立 在 TLS 记录 协议 之 上 ,是 在 通信 双方 进行 数据 交换 前 ,进行 双方 
的 身份 认证 ,加密 算 法 以 及 加 密 参 数 协 商 的 高 层 协 议 , 由 三 个 子 协议 组 成 ,如 图 7-23 所 
示 。 在 通信 双方 交换 信息 之 前 ,通信 双方 将 对 以 下 的 项 目 进行 协商 ,这 里 协商 的 项 目 , 将 
作为 底层 协议 一 一 TLS 记录 协议 的 安全 参数 。 




















客户 端 服务 端 
ClientHello 六 | 
ServerHello 
Certificate* 
ServerkeyExchange* 
CertificateRequest * 
Certificate* = ServerHelloDone 
ClientkeyExchange 
CertificateVerify * 





CertificateRequest * 
[ChangeCipherSpec] 
Finished 





[ChangeCipherSpec] 
Finished 





Application Data 














Application Data 














7-23 ”握手 协议 建立 握手 时 的 消息 流 


@ 会 话 标识 符 : 通信 前 ,服务 器 将 选取 一 个 随机 的 字 节 序 列 来 标识 当前 的 活动 会 话 
的 状态 。 

@ 对 方 证 书 (Peer Certificate) : X. 509 v3 规范 的 对 方 证 书 。 

@ 压缩 算法 : 在 加 密 之 前 用 来 压缩 数据 的 算法 。 

@ 加 密 算法 : 指定 批量 数据 加 密 算法 和 消息 认证 检查 算法 Hash-Size 的 加 密 参 数 。 

TLS 握手 协议 提供 的 连接 安全 性 具有 三 个 优点 。 

Q@ 可 以 使 用 非 对 称 加 密 或 公 钥 加 密 算法 来 进行 双方 的 身份 认证 ,而 且 是 否 进 行 这 种 
认证 是 可 选 的 。 

@ 共享 加 密 密 钥 协商 过 程 是 安全 的 。 即 便 攻 击 者 进入 在 通信 双方 的 中 间 节 点 ,也 无 
法 从 协商 消息 中 获取 有 用 的 信息 。 

@ 协商 过 程 是 可 靠 的 。 每 次 协商 的 结果 任何 攻击 者 都 不 能 在 不 被 通信 双方 察觉 的 
情况 下 改变 协商 消息 。 这 样 可 确保 TLS 记录 协议 等 底层 协议 加 密 的 密 钥 不 会 被 恶意 的 
入 侵 者 窃取 。 

2 TLS 与 SSL 协 议 的 区 别 

比 起 SSL 协议 ,TLS 协议 的 优点 在 于 独立 于 应 用 程序 外 ,高 层 协议 能 够 透明 地 分 布 
在 TLS 协议 之 上 ,开发 人 员 可 以 在 TLS 协议 之 上 继续 构造 自己 的 应 用 层 协 议 , 比 SSL 协 
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议 灵 活 得 多 。TLS 协议 把 如 何 进 行 传输 层 安全 握手 以 及 如 何 解释 交换 的 认证 证 书 的 决 
定 权 留 给 TLS 协议 的 设计 者 和 实施 者 来 判断 。 

由 于 TLS 与 SSL v3.0 之 间 所 支持 的 加 密 算法 不 同 ,两 者 不 能 互 操作 。 

(1) TLS 与 SSL 的 差异 

@ 版 本 号 : TLS 记录 格式 与 SSL 记录 格式 相同 ,但 版 本 号 的 值 不 同 ,TLS 1. 0 使 用 
的 为 SSL v3. 1。 

@ 报 文 鉴别 码 : SSL v3.0 和 TLS 的 MAC 算法 及 MAC 计算 的 范围 不 同 。TLS 使 
用 了 RFC 2104 定义 的 HMAC 算法 。SSL v3. 0 使 用 了 相似 的 算法 ,两 者 的 差别 在 于 : 
SSL v3.0 中 填充 字 节 与 密 钥 之 间 采 用 的 是 连接 运算 ,而 HMAC 算法 采用 的 是 异 或 运算 。 
但 是 两 者 的 安全 强度 是 相同 的 。 

@ 伪 随 机 函数 : TLS 使 用 称 为 PRF 的 伪 随 机 函数 将 密 钥 扩 展 成 数据 块 ,是 更 安全 
的 方式 。 

@ 报警 代码 : TLS 支持 几乎 所 有 的 SSL v3.0 报警 代码 ,而且 TLS 补充 定义 了 很 多 
报警 代码 , 如 解密 失败 (decryption_failed)、 记 录 洲 出 (record_overflow)、 未 知 CA 
(unknown_ca) ,拒绝 访问 (access_denied) 等 。 

@ 密 文 族 和 客户 证 书 : SSL v3.0 和 TLS 存在 少量 差别 , 即 TLS 不 支持 Fortezza 密 
钥 交 换 、 加 密 算法 和 客户 证 书 。 

@ certificate_verify 和 finished 消息 : SSL v3.0 和 TLS 在 用 certificate_verify 和 
finished 消息 计算 MD5 和 SHA-1 散 列 码 时 ,计算 的 输入 有 少许 差别 ,但 安全 性 相当 。 

@ 加 密 计算 : TLS 与 SSL v3.0 在 计算 主 密 值 (Master Secret) 时 采用 的 方式 不 同 。 

填充 : 用 户 数 据 加 密 之 前 需要 增加 的 填充 字 节 。 在 SSL 中 ,填充 后 的 数据 长 度 要 
达到 密 文 块 长 度 的 最 小 整数 倍 。 而 在 TLS 中 ,填充 后 的 数据 长 度 可 以 是 密 文 块 长 度 的 任 
意 整 数 倍 (但 填充 的 最 大 长 度 为 255 字 节 ), 这 种 方式 可 以 防止 基于 对 报 文 长 度 进行 分 析 
的 攻击 。 

(2) TLS 的 主要 增强 内 容 

TLS 的 主要 目标 是 使 SSL 更 安全 ,并 使 协议 的 规范 更 精确 和 完善 。TLS 在 SSL v3.0 
的 基础 上 ,提供 了 以 下 增强 内 容 。 

QO@ 更 安全 的 MAC 算法 。 

@ 更 严密 的 警报 。 

加 “灰色 区 域 ? 规 范 的 更 明确 的 定义 。 

(3) TLS 对 于 安全 性 的 改进 

Q@ 对 于 消息 认证 使 用 密 钥 散 列 法 : TLS 使 用 “消息 认证 代码 的 密 钥 散 列 法 ”(HMAC)， 
当 记 录 在 开放 的 网 络 ( 如 因特网 ) 上 传送 时 ,该 代码 确保 记录 不 会 被 变更 。SSL v3.0 还 提 
供 消 息 认证 ,但 HMAC 比 SSL v3.0 使 用 的 (消息 认证 代码 )MAC 功能 更 安全 。 

@ 增强 的 伪 随 机 功能 (PRF): PRF 生成 密 钥 数据 。 在 TLS 中 ,HMAC 定义 PRF。 
PRF 使 用 两 种 散 列 算法 保证 其 安全 性 。 如 果 任 一 算法 暴露 了 ,只 要 第 二 种 算法 未 暴露 ， 
则 数据 仍然 是 安全 的 。 

@ 改进 的 已 完成 消息 验证 : TLS 和 SSL v3. 0 都 对 两 个 端点 提供 已 完成 的 消息 ,该 
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消息 认证 交换 的 消息 没有 被 变更 。 然 而 ,TLS 将 此 已 完成 消息 基于 PRF 和 HMAC 值 之 
上 ,这 也 比 SSL v3. 0 更 安全 。 

@ 一 致 证 书 处 理 : 与 SSL v3.0 不 同 ,TLS 试图 指定 必须 在 TLS 之 间 实 现 交 换 的 证 
书 类 型 。 

@ 特定 警报 消息 : TLS 提供 更 多 的 特定 和 附加 警报 ,以 指示 任 一 会 话 端点 检测 到 的 
问题 。TLS 还 对 何 时 应 该 发 送 某 些 警报 进行 记录 。 


744 HTIPS 协 议 


1. HTIPS 协 议 简 介 

HTTPS 是 安全 超 文本 传输 协议 ,由 Netscape 公司 开发 并 内 置 于 其 浏览 器 中 ,用 于 
对 数据 进行 压缩 和 解压 操作 ,并 返回 网 络 上 传送 回 的 结果 。 实 际 上 ,HTTPS 是 SSL/ 
TLS over HTTP, 就 是 经 过 SSL 或 TLS 加 密 后 的 HTTP。HTTPS 通过 在 TCP 层 与 
HTTP 间 增 加 一 个 SSL/TLS 来 加 强 安全 性 ,该 协议 通过 SSL/TLS 在 发 送 方 把 原始 数据 
进行 加 密 , 在 接收 方 解 密 ,因此 ,所 传送 的 数据 不 容易 被 网 络 黑客 截获 和 破解 。 

目前 ,HTTPS 在 企业 中 的 应 用 主要 体现 在 两 个 方面 : SSL VPN( 也 称 TLS VPN) 和 
Web 服务 器 。 企 业 使 用 SSL VPN 提供 接 入 服务 ,企业 员工 在 任何 地 方 的 外 部 网 络 都 可 
以 安全 地 连接 到 企业 内 部 ,登录 企业 内 部 的 OA 系统 ,进行 业务 处 理 等 操作 ; 在 Web 服 
务 器 上 使 用 的 HTTPS 主要 用 来 保护 传输 中 的 数据 不 被 截获 ,可 应 用 在 企业 内 部 OA 系 
统 的 数据 传输 中 ,如 需要 保密 的 财务 、 人 力 、 邮 件 等 敏感 资料 的 传输 。 在 对 外 提供 的 服务 
中 ,可 保护 用 户 的 隐私 不 被 第 三 方 泄露 。 


2 HTIPS 安 全 传输 工作 原理 

HTTPS 协议 的 简单 工作 原理 : 使 用 非 对 称 加 密 的 方式 加 密 一 个 密 钥 ,然后 双方 使 用 
这 个 密 钥 对 传输 的 明文 数据 进行 对 称 加 密 。 常 用 的 非 对 称 加 密 算法 是 RSA ,对 称 加 密 算 
法 是 DES、AES 等 ,完整 性 检验 算法 是 MD5。 

当 用 户 通过 浏览 器 和 远 端 网 络 服务 器 建立 安全 连接 时 ,需要 应 用 HTTPS 进行 安全 
传输 。HTTPS 的 会 话 连接 建立 的 过 程 如 下 。 

@ 客户 端 发 起 连接 ,向 服务 器 发 送 request 报 文 ,主要 内 容 包括 自己 支持 的 各 种 算法 
列表 ,例如 非 对 称 加 密 支 持 哪些 加 密 算 法 ,对 称 加 密 支 持 哪 些 加 密 算法 。 

@ 服务 器 收 到 消息 之 后 ,和 自己 支持 的 加 密 算法 对 比 , 找 出 双方 都 支持 的 算法 ,然后 
服务 器 把 自己 的 证 书 ( 常 见 的 是 X. 509 证 书 ) 发 送 给 客户 端 ,包含 被 选中 的 加 密 算法 、 
X. 509 证 书 等 内 容 , 其 中 在 证 书 中 包含 了 服务 器 的 公 钥 等 内 容 。 

@ 客户 端 接收 到 证 书 之 后 获取 服务 器 的 公 钥 ,随即 生成 一 个 字符 串 ,使 用 服务 器 的 
公 钥 加 密 ,发 送 给 服务 端 。 服 务 端 用 自己 的 私 钥 解 开 这 个 加 密 串 ,得 到 明文 。 然 后 服务 器 
和 客户 端 之 间 就 把 这 个 串 当 作 密 钥 ,进行 对 称 加 密 。 

要 实现 HTTPS 安全 传输 ,其 核心 是 SSL/TLS。 实 现 的 设计 原理 是 : 首先 创建 一 个 
类 ,该 类 方法 可 以 实现 自动 引导 Web 客户 的 访问 请 求 使 用 HTTPS 协议 ,每 个 要 求 使 用 
SSL/TLS 进行 传输 的 Servlet 或 JSP 在 程序 开始 时 调用 它 进 行 协议 重 定向 ,再 使 用 SSL/ 
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TLS 通过 交换 共享 密 钥 来 加 密 和 人 解密 数据 ,最 后 才 进 行 数据 应 用 处 理 。HTTPS 安全 传 
输 原理 图 如 图 7-24 所 示 。 

















HTIPs 访 问 请 求 HTTPS 访 问 请 求 访问 请 求 
访问 结 本 
访问 结果 应 用 处 理 结果 
有 服务 器 
图 7-24 HTTPS 安全 传输 原理 图 
3 HTTPS 安 全 传输 实现 


根据 安全 传输 原理 ,采用 协议 重 定向 实现 基于 HTTPS 的 安全 传输 设计 的 基本 步 
院 为 : 

QO@ 获取 访问 的 请 求 所 使 用 的 协议 。 

@ 如 果 请 求 协议 符合 被 访问 的 Servlet 所 要 求 的 协议 ,就 说 明 已 经 使 用 了 HTTPS 
协议 ,不 需 做 任何 处 理 。 

@ 如 果 不 符合 , 则 用 Servlet 所 要 求 的 HTTPS 协议 重 定向 到 相同 的 URL。 

@ 使 用 SSLVTLS 通过 交换 共享 密 钥 在 发 送 方 将 原始 数据 进行 加 密 , 在 接收 方 进行 
解密 。 

采用 协议 重 定向 实现 数据 HTTPS 安全 传输 的 流程 图 如 图 7-25 所 示 。 


用 户 发 出 访问 请 求 





获取 访问 请 求 使 用 协议 























获取 GET 查 询 字 串 转换 为 查 
一 询 字 申 


协议 重 定向 到 任何 URL 


























7-25 基于 HTTPS 的 安全 传输 流程 图 
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751 VPN 简 介 


VPN(Virtual Private Network ,虚拟 专用 网 ) 是 平衡 Internet 的 适用 性 和 价格 优势 的 
最 有 前 途 的 通信 手段 之 一 。VPN 被 广泛 接受 的 定义 是 : 建立 在 公众 网 络 上 ,并 隔离 给 单 
独 用 户 使 用 的 任何 网 络 。 依 这 条 定义 来 衡量 ,Frame Relay、X. 25 和 ATM 等 都 可 以 认为 
是 VPN ,这 种 VPN 一 般 被 认为 是 第 二 层 的 VPN。 目 前 蓬勃 发 展 的 VPN 模式 ,是 建立 在 
共享 的 IP 主干 网 上 的 网 络 , 它 被 称 为 IP VPNs。 利 用 这 种 共享 的 IP 网 建立 VPN 连接 ， 
VPN 可 以 帮助 远程 用 户 、 单 位 分 支 机 构 、 合 作 单位 与 单位 本 部 的 内 部 网 建立 可 信 的 安全 
连接 ,并 且 保 证 数据 传输 的 安全 性 。 可 以 说 VPN 是 对 单位 内 部 网 的 拓展 。 一 个 单位 的 
VPN 解决 方案 可 使 用 户 将 精力 集中 到 自己 的 主要 业务 和 职责 上 ,而 不 是 放 在 网 络 设计 
上 。VPN 解决 方案 的 成 功 实施 不 仅 简化 了 用 户 的 网 络 的 设计 和 管理 ,还 可 加 速 连接 新 的 
用 户 和 网 站 。 另 外 ,VPN 还 可 以 保护 现 有 的 网 络 建设 和 投资 能 被 充分 地 使 用 ,达到 资源 
最 优 配置 。 

因此 ,与 传统 专用 网 相 比 ,VPN 给 企业 带 来 很 多 的 好 处 ,同时 也 给 服务 供应 商 特 别 是 
ISP 带 来 很 多 机 会 。VPN 给 企业 带 来 的 好 处 主要 有 以 下 四 点 。 

Q@ 低 成 本 。 企 业 不 需 租用 长 途 专线 建设 专 网 ,不 需 大 量 的 网 络 维护 人 员 和 设备 投 
资 。 利 用 现 有 的 公用 网 组 建 Internet, 要 比 租用 专线 或 铺设 专线 节省 开支 ,而 且 距 离 越 远 
节省 得 越 多 。 

@ 易于 扩展 。 如 果 企 业 组 建 自己 的 专用 网 ,在 扩展 网 络 分 支 时 ,要 考虑 网 络 的 容 
量 、 架 设 新 链 路 \ 增 加 互 连 设备 、 升 级 设备 等 ; 而 实现 了 VPN 就 方便 多 了 ,只 需 连 接 到 
公 网 上 ,对 新 加 入 的 网 络 终端 在 逻辑 上 进行 配置 ,也 不 需要 考虑 公 网 的 容量 问题 ,设备 
问题 等 。 

@ 降低 网 络 复杂 度 。 由 于 建立 在 原 有 公共 交换 电话 网 络 (PSTN) 基 础 上 ,所 以 不 需 
要 对 网 络 进行 新 的 改变 ,只 需要 将 网 络 的 设置 进行 调整 ; 同时 网 络 上 的 工作 都 有 ISP 去 
做 ,用 户 完全 不 需要 自己 去 做 。 

@ 完全 控制 主动 权 。VPN 上 的 设施 和 服务 完全 掌握 在 企业 手中 。 例 如 ,企业 可 以 
把 拨号 访问 交 给 ISP 去 做 ,由 自己 负责 用 户 的 查验 访问 权 、 网 络 地 址 、 安 全 性 和 网 络 变化 
管理 等 重要 工作 。 

VPN 的 解决 方案 根据 应 用 环境 的 不 同 分 为 三 类 。 

@ Access VPN( 远 程 接 入 VPN): 它 是 从 客户 端 到 网 关 , 使 用 公 网 为 主干 网 ,在 设备 
之 间 传 输 VPN 的 数据 流量 。 从 PSTN ,ISDN 或 者 PLMN 接 入 。 

@ Intranet VPN( 内 联网 VPN): 它 是 从 网 关 到 网 关 , 通 过 公司 的 内 部 网 络 构架 连接 
来 自 同一 公司 的 资源 ,多 运用 于 跨国 公司 和 公司 分 支 机 构 。 

@ Extranet VPN( 外 联网 VPN): 它 是 与 合作 伙伴 企业 网 络 构成 Extranet, 将 一 个 
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把 因特网 用 作 专用 广域网 ,需要 克服 两 个 主要 障碍 。 首 先 ,网 络 经 常 使 用 多 种 协议 
(如 IPX 和 NetBEUD 进 行 通信 ,但 因特网 只 能 处 理 IP 流量 。 所 以 ,VPN 需要 提供 一 种 
方法 ,将 非 IP 的 协议 从 一 个 网 络 传送 到 另 一 个 网 络 。 其 次 ,网 上 传输 的 数据 包 以 明文 格 
式 传输 ,因而 ,只 要 看 得 到 因特网 的 流量 ,就 能 读 取 包 内 所 含 的 数据 。 如 果 公司 希望 利用 
因特网 传输 重要 的 商业 机 密 信 息 , 这 显然 是 一 个 问题 。VPN 克服 这 些 障碍 的 办 法 就 是 采 
用 了 隧道 技术 : 数据 包 不 是 公开 在 网 上 传输 ,而 是 首先 进行 加 密 以 确保 安全 ,然后 由 
VPN 封装 成 IP 包 的 形式 ,通过 隧道 在 网 上 传输 ,如 图 7-26 所 示 。 


未 加 密 数 据 包 





加 密 后 数据 隧道 
7-26 VPN 工作 原理 图 


源 网 络 的 VPN 隧道 发 起 器 与 目标 网 络 上 的 VPN 隧道 发 起 器 进行 通信 。 两 者 就 加 
密 方案 达成 一 致 , 然 后 隧道 发 起 器 对 包 进 行 加 密 ,确保 安全 (为 了 加 强 安全 ,应 采用 验证 过 
程 ,以 确保 连接 用 户 拥有 进入 目标 网 络 的 相应 的 权限 。 大 多 数 现 有 的 VPN 产品 支持 多 
种 验证 方式 )。 最 后 ,VPN 发 起 器 将 整个 加 密 包 封装 成 IP 包 。 现 在 不 管 原 先 传输 的 是 何 
种 协议 , 它 都 能 在 纯 IP 因特网 上 传输 。 又 因为 包 进行 了 加 密 , 所 以 谁 也 无 法 读 取 原 始 数 
据 。 在 目标 网 络 这 头 ,VPN 隧道 终结 器 收 到 包 后 去 掉 IP 信息 ,然后 根据 达成 一 致 的 加 密 
方案 对 包 进 行 解密 ,将 随后 获得 的 包 发 给 远程 接 人 服务 器 或 本 地 路 由 器 ,它们 再 把 隐藏 的 
IPX 包 发 到 网 络 ,最 终 发 往 相 应 目的 地 。 
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由 于 传输 的 是 私有 信息 ,VPN 用 户 对 数据 的 安全 性 都 比较 关心 。 为 了 保障 信息 的 安 
全 ,VPN 技术 应 提供 以 下 基本 功能 。 

@ 加 密 数 据 。 以 保证 通过 公 网 传输 的 信息 即使 被 他 人 截获 也 不 会 泄露 。 

@ 信息 验证 和 身份 识别 。 保 证 信息 的 完整 性 、 合 理性 ,并 能 鉴别 用 户 的 身份 。 

@ 提供 访问 控制 。 不 同 的 用 户 有 不 同 的 访问 权限 。 

@ 地 址 管理 。VPN 方案 必须 能 够 为 用 户 分 配 专用 网 络 上 的 地 址 并 确保 地 址 的 安 
全 性 。 

@ 密 钥 管 理 。VPN 方案 必须 能 够 生成 并 更 新 客户 端 和 服务 器 的 加 密 密 钥 。 
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@ 多 协议 支持 。VPN 方案 必须 支持 公共 因特网 普遍 使 用 的 基本 协议 ,包括 IP、 
IPX 等 。 

目前 VPN 主要 采用 五 项 技术 来 保证 上 面 的 各 项 功能 ,这 五 项 技术 分 别 是 隧道 技术 
(Tunneling) .加 解密 技术 (Encryption&.Decryption) 、 密 钥 管 理 技术 (Key Management) 、 
身份 认证 技术 (Authentication) 和 访问 控制 技术 (Access Control) 。 

(1) 隧道 技术 

隧道 技术 是 VPN 的 底层 支撑 技术 。 所 谓 隧道 ,实际 上 是 一 种 封装 ,就 是 将 一 种 协议 
(协议 X) 封 装 在 另 一 种 协议 (协议 Y) 中 传输 ,从 而 实现 协议 X 对 公用 网 络 的 透明 性 。 这 
里 协议 X 被 称 为 被 封装 协议 ,协议 Y 被 称 为 封装 协议 ,封装 时 一 般 还 要 加 上 特定 的 隧道 
控制 信息 ,因此 隧道 协议 的 一 般 形 式 为 (( 协 议 Y) 隧 道 头 (协议 X))。 在 公用 网 络 (一 般 指 
因特网 ) 上 传输 过 程 中 ,只 有 VPN 端口 或 网 关 的 IP 地 址 暴露 在 外 边 。 隧 道 解 决 了 专 网 
与 公 网 的 兼容 问题 ,其 优点 是 能 够 隐藏 发 送 者 、 接 收 者 的 IP 地 址 以 及 其 他 协议 信息 。 
VPN 采用 隧道 技术 向 用 户 提供 了 无 颖 的 、 安 全 的 、 端 到 端的 连接 服务 ,以 确保 信息 资源 的 
安全 。 

(2) 加 解密 技术 

加 解密 技术 是 VPN 的 另 一 核心 技术 。 为 了 保证 数据 在 传输 过 程 中 的 安全 性 ,不 被 
非法 的 用 户 窃取 或 自 改 ,一 般 都 在 传输 之 前 进行 加 密 ,在 接收 方 再 对 其 进行 解密 。 

(3) 密 钥 管 理 技术 

密 钥 管理 技术 的 主要 任务 是 在 公用 网 络 上 安全 地 传递 密 钥 而 不 被 窃取 。 目 前 密 钥 管 
理 的 协议 包括 ISAKMP、SKIP 等 。Internet 密 钥 交 换 协 议 IKE 是 Internet 安全 关联 和 
密 钥 管理 协议 ISAKMP 语言 来 定义 密 钥 的 交换 ,综合 了 Oakley 和 SKEME 的 密 钥 交换 
方案 ,通过 协商 安全 策略 ,形成 各 自 的 验证 加 密 参 数 。IKE 交换 的 最 终 目 的 是 提供 一 个 
通过 验证 的 密 钥 以 及 建立 在 双方 同意 基础 上 的 安全 服务 。SKIP 主要 利用 Diffie- 
Hellman 的 演算 法 则 ,在 网 络 上 传输 密 钥 。 

(4) 身份 认证 技术 

身份 认证 技术 可 以 防止 来 自 第 三 方 的 主动 攻击 。 一 般 用 户 和 设备 双方 在 交换 数据 之 
前 , 先 核对 证 书 , 如 果 准 确 无 误 ,双方 才 开 始 交换 数据 。 用 户 身 份 认证 最 常用 的 技术 是 用 
户 名 和 密码 方式 。 而 设备 认证 则 需要 依赖 由 CA 所 颁发 的 电子 证 书 。 

(5) 访问 控制 技术 

由 VPN 服务 的 提供 者 与 最 终 网 络 信息 资源 的 提供 者 共同 来 协商 确定 特定 用 户 对 特 
定 资源 的 访问 权限 ,以 此 实现 基于 用 户 的 细 粒 度 访问 控制 ,以 实现 对 信息 资源 的 最 大 限度 
的 保护 。 
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1. VPN 协 议 分 类 

VPN 区 别 于 一 般 网 络 互 连 的 关键 是 隧道 的 建立 ,隧道 的 建立 有 两 种 方式 , 即 “ 用 户 初 
始 化 ”隧道 和 “NASCNetwork Access Server) 初 始 化 ”隧道 。 前 者 一 般 指 “主动 ”隧道 ,后 
者 指 “ 强 制 ” 隧 道 。“ 主 动 ” 隧 道 是 用 户 为 某 种 特定 目的 的 请 求 建立 的 ,而 “强制 "隧道 则 是 
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在 没有 任何 来 自用 户 的 动作 以 及 选择 的 情况 下 建立 的 。 

隧道 是 由 隧道 协议 形成 的 ,数据 包 经 过 加 密 后 . 按 隧道 协议 进行 封装 、 传 送 以 保证 安 
全 性 。 隧 道 协议 分 为 第 二 层 、 第 三 层 隧道 协议 。 一 般 地 ,在 数据 链 路 层 实现 数据 封装 的 协 
议 称 为 第 二 层 隧道 协议 ,如 PPTP(Point to Point Tunneling Protocol) .L2TP(Layer Two 
Tunneling Protocol)、L2F (Layer 2 Forwarding) 等 ,主要 应 用 于 构建 Access VPN 和 
Extranet VPN; 在 网 络 层 实 现 数据 封装 的 协议 称 为 第 三 层 隧道 协议 ,如 GRE(Generic 
Routing Encapsulation) .IPSec(IP Security) 和 MPLS 等 ,主要 应 用 于 构建 Intranet 和 
Extranet VPN。 另 外 ,SOCKS v5 协议 则 在 传输 层 实 现 数 据 安 全 。 有 时 ,也 把 更 高 层 的 
SSL 看 作 VPN, 称 为 SSL VPN。 目前 常用 的 VPN 协议 如 表 7-3 所 示 。 


表 7-3 目前 常用 的 VPN 协议 

















OSI 层 次 常用 VPN 协议 
应 用 层 SSL VPN 
传输 层 SOCKS v5 
网 络 层 IPSec VPN 
数据 链 路 层 PPTP&L2TP VPN 
2 IPSec 协议 


IPSec 协议 (IP 安全 协议 ) 作 为 目前 实现 VPN 功能 的 常规 选择 ,其 协议 内 容 详 见 7. 2 
小 节 。 


3 PPIP 与 CPP 协议 

PPTP 协议 是 一 种 用 于 让 远程 用 户 拨号 连接 到 本 地 的 ISP, 通 过 因特网 安全 远程 访 
问 公司 资源 的 新 型 技术 。 它 能 将 PPP( 点 到 点 协议 ) 帧 封装 成 IP 数据 包 , 以 便 能 够 在 基于 
IP 的 互联 网 上 进行 传输 。PPTP 使 用 TCP 连接 的 创建 、 维 护 与 终止 隧道 ,并 使 用 GRE 
(通用 路 由 封装 ) 将 PPP 帧 封装 成 隧道 数据 。 被 封装 后 的 PPP 帧 的 有 效 载荷 可 以 被 加 密 
或 者 压缩 ,或 者 同时 被 加 密 与 压缩 。 

PPTP 作为 “主动 ”隧道 模型 允许 终端 系统 进行 配置 ,与 任意 位 置 的 PPTP 服务 器 建 
立 一 条 不 连续 的 、 点 到 点 的 隧道 。 并 且 ,PPTP 协商 和 隧道 建立 过 程 都 没有 中 间 媒 介 
NAS 的 参与 。NAS 的 作用 只 是 提供 网 络 服务 。PPTP 建立 过 程 如 下 : 四 用 户 通过 串口 
以 拨号 IP 访问 的 方式 与 NAS 建立 连接 取得 网 络 服务 ; @ 用 户 通 过 路 由 信息 定位 PPTP 
接 人 服务 器 ; 图 用户 形 成 一 个 PPTP 虚拟 接口 ; @ 用 户 通过 该 接口 与 PPTP 接 人 服务 器 
协商 、 认 证 建立 一 条 PPP 访问 服务 隧道 ; @ 用 户 通过 该 隧道 获得 VPN 服务 。 

L2TP 是 L2F 和 PPTP 的 结合 。L2TP 作为 “强制 "隧道 模型 是 让 拨号 用 户 与 网 络 中 
的 另 一 点 建立 连接 的 重要 机 制 。 建 立 过 程 如 下 : 用 户 通 过 Modem 与 NAS 建立 连接 ; 
回 用户 通 过 NAS 的 L2TP 接 入 服务 器 身份 认证 ; @@ 在 政策 配置 文件 或 NAS 与 政策 服务 
器 进行 协商 的 基础 上 ,NAS 和 L2TP 接 人 服务 器 动态 地 建立 一 条 L2TP 隧道 ; @ 用 户 与 
L2TP 接 人 服务 器 之 间 建 立 一 条 PPP 协议 访问 服务 隧道 ; @ 用 户 通过 该 隧道 获得 VPN 
服务 。 
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在 L2TP 中 ,用 户 感 觉 不 到 NAS 的 存在 ,仿佛 与 PPTP 接 人 服务 器 直接 建立 连接 。 
而 在 PPTP 中 ,PPTP 隧道 对 NAS 是 透明 的 ; NAS 不 需要 知道 PPTP 接 入 服务 器 的 存 
在 ,只 是 简单 地 把 PPTP 流量 作为 普通 IP 流量 处 理 。 

采用 L2TP 还 是 PPTP 实现 VPN 取决 于 要 把 控制 权 放 在 NAS 还 是 用 户 手中 。 
L2TP 比 PPTP 更 安全 ,因为 L2TP 接 入 服务 器 能 够 确定 用 户 从 哪里 来 的 。L2TP 主要 用 
于 比较 集中 的 、 固 定 的 VPN 用户, 而 PPTP 比较 适合 移动 的 用 户 。 

L2TP 支持 Internet 的 远程 访问 ,L2TP 协议 封装 形式 如 图 7-27 所 示 。 此 外 ,需要 说 
明 的 是 ,L2TP 协议 和 IPSec 配合 使 用 是 目前 性 能 最 好 、 应 用 最 广泛 的 一 种 协议 机 制 。 











IP 头 部 UDP 头 部 L2TP 头 部 | ”PPP 头 部 | 原始 IP 数 据 包 
2. 建立 隧道 

















1. 用 户 认证 












~~ 


5. 端 到 端 PPP 会 话 


认证 服务 器 


7-27 L2TP 协议 封装 形式 


4 GE 协议 

GRE 规定 了 如 何 用 一 种 网 络 协议 去 封装 另 一 种 网 络 协议 的 方法 。GRE 的 “隧道 ”由 
两 端的 源 IP 地 址 和 目的 IP 地 址 来 定义 ,使 用 者 可 使 用 IP 包 封装 IP IPX、AppleTalk 包 ， 
并 支持 全 部 的 路 由 协议 。 通 过 GRE, 使 用 者 可 以 利用 公共 IP 网 络 连接 IPX 网 络 、 
AppleTalk 网 络 ,还 可 以 用 保留 地 址 进行 网 络 互联 ,或 对 公 网 隐藏 内 部 网 的 IP 地 址 。 其 
封装 形式 如 图 7-28 所 示 。 


| PP 头 部 | GRE 头 部 原始 IP 数 据 包 
图 7-28 通用 路 由 封装 协议 GRE 的 封装 形式 


GRE 协议 非常 广泛 地 应 用 在 移动 IP、PPTP 等 领域 。 其 只 提供 了 数据 包 的 封装 格 
式 , 并 没有 提供 对 数据 包 加 密 功能 。 

目前 的 GRE 隧道 方案 存在 以 下 浆 端 。 

@ 组 网 及 配置 复杂 。 由 于 GRE 隧道 技术 采用 的 是 点 到 点 的 隧道 方案 , 当 接 和 点数 
量 为 N ,需要 建立 一 个 全 连接 的 VPN 时 ,整个 网 络 需要 手工 配置 NX (CN 一 1)/2 个 点 到 
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@ 可 维护 性 及 可 扩展 性 差 。 对 于 一 个 已 经 组 建 好 的 VPN 网 络 , 若 需 要 增加 节点 或 
修改 某 个 节点 的 配置 ,那么 其 他 所 有 节点 都 必须 针对 这 个 节点 修改 本 地 配置 ,维护 成 本 
较 高 。 

@ 无 法 穿 透 NAT(Network Address Translation) 网 关 。 采 用 GRE 方式 建立 隧道 ， 
如 果 出 口 有 NAT 网 关 , 那 么 需要 一 个 公 网 地 址 对 应 一 个 私 网 地 址 来 解决 ,需要 大 量 的 公 
网 IP 地 址 ,这 导致 了 GRE 不 能 应 用 于 NAT 网 关内 部 。 


755 VPN 应 用 实例 


图 7-29 是 一 个 典型 VPN 应 用 的 设计 。 基 于 IPSec VPN 的 解决 方案 , 它 将 三 个 分 支 
机 构 与 网 络 中 心 连接 起 来 。 网 络 中 心 为 了 安全 ,使 用 了 网 络 防火 墙 Cisco Secure PIX, 通 
过 加 装 VPN 加 速 卡 (VAC) ,作为 VPN 隧道 的 终端 。 这 些 加 速 卡通 过 硬件 进行 DES 和 
三 重 DES 加 密 , 极 大 地 提高 了 这 些 加密 算 法 的 处 理 能 力 。 同 时 在 网 络 中 心 建立 证 书 授权 
中 心 (CA) ,提供 建立 VPN 隧道 连接 时 的 身份 验证 。 


Cisco 1760+VAC Cisco 1760+VAC 






证 书 授权 中 心 





图 7-29 基于 IPSec 的 VPN 设计 方案 


通过 利用 Cisco IOS 软件 对 IPSec 的 支持 ,在 分 支 机 构建 立 VPN 隧道 的 终端 。 为 了 
提高 VPN 服务 的 处 理性 能 ,可 以 加 装 用 于 Cisco 路 由 器 的 VPN 加 速 卡 (VAC) 。 每 次 由 
分 支 机 构 的 路 由 器 发 起 建立 VPN 隧道 的 请 求 ,网 络 中 心 的 PIX 防火 墙 响应 后 , 即 可 建立 
起 VPN 隧道 ,实现 安全 保密 的 通信 。 

由 于 很 多 的 软 硬 件 产品 都 支持 IPSec 协议 ,因此 也 可 以 使 用 VPN 集中 器 、 带 VPN 
的 ADSL Modem 支持 IPSec 的 防火 墙 产 品 等。 具体 设计 实施 细节 请 参考 对 应 产品 的 技 
术 文档 。 

这 种 设计 方案 使 用 针对 VPN 作 了 性 能 优化 的 路 由 器 和 PIX 防火 墙 ,可 以 充分 利用 
现 有 的 Cisco 设备 , 既 可 以 建立 安全 的 VPN 网 络 ,同时 又 提供 了 对 Internet 访问 的 途径 ， 
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非常 适用 于 混合 的 广域网 环境 。 


习题 7 
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. 简 述 在 网 络 信息 安全 模型 中 各 部 分 的 作用 。 

. 网 络 安全 的 关键 技术 有 哪些 ? 

. 简 述 IPSec 协议 的 工作 原理 。 

. IPSec 协议 中 传输 模式 和 隧道 模式 的 主要 区 别 是 什么 ? 

. PGP 主要 提供 哪些 安全 业务 ? 

. 试 分 析 PGP 中 机 密 性 与 认证 功能 是 如 何 同时 工作 的 。 

. 说 明 S/MIME 协议 中 报 文 是 如 何 准备 的 。 

. 试 述 SSL 协议 和 TLS 协议 有 什么 不 同 。 

. SSL 握手 协议 主要 有 哪些 阶段 ? 各 个 阶段 的 作用 是 什么 ? 
. 简 述 HTTPS 工作 原理 。 

. 什么 是 VPN? VPN 有 哪些 特点 ? 

. 第 二 层 隧 道 协 议和 第 三 层 隧道 协议 的 本 质 区 别 是 什么 ? 
.VPN 主要 采用 哪些 技术 来 保证 通信 和 安全? 

. 目前 常用 的 VPN 协议 都 有 哪些 ? 分 别 归属 于 OSI 网 络 模型 的 哪些 层次 ? 
. 试 述 PPTP 协议 与 L2TP 协议 的 区 别 和 联系 。 





第 8 意 
”人 侵 检 测 技术 


在 网 络 安全 日 趋 严峻 的 情况 下 ,研究 开发 能 够 及 时 、 准 确 对 入 侵 进 行 检测 并 能 做 出 响 
应 的 网 络 安全 防范 技术 , 即 入 侵 检测 技术 ,成 为 一 个 有 效 的 解决 网 络 安全 问题 的 途径 。 本 
章 首先 介绍 了 入 侵 检测 技术 的 概念 、 模 型 ,然后 介绍 了 入 侵 检测 技术 面临 的 问题 、 挑 战 和 
常用 的 入 侵 检测 技术 及 系统 ,最 后 介绍 了 入 侵 检 测 系 统 的 发 展 方向 。 


8.1 入 侵 检测 概述 





811 入 侵 检 测 基本 概念 


入 侵 检 测 (Intrusion Detection) 是 对 入 侵 行为 的 检测 。 它 通过 收集 和 分 析 网 络 行 为 、 
安全 日 志 、 审 计数 据 、 其 他 网 络 上 可 以 获得 的 信息 以 及 计算 机 系统 中 若干 关键 点 的 信息 ， 
检查 网 络 或 系统 中 是 否 存 在 违反 安全 策略 的 行为 和 被 攻击 的 迹象 。 入 侵 检 测 作为 一 种 积 
极 主 动 的 安全 防护 技术 ,提供 了 对 内 部 攻击 、 外 部 攻击 和 误 操 作 的 实时 保护 ,在 网 络 系统 
受到 危害 之 前 拦截 和 响应 人 侵 。 因 此 被 认为 是 防火 墙 之 后 的 第 二 道 安 全 闸门 ,在 不 影响 
网 络 性 能 的 情况 下 能 对 网 络 进行 监测 。 入 侵 检测 通过 执行 以 下 任务 来 实现 其 功能 : 监 
视 、 分 析 用 户 及 系统 活动 ; 审计 系统 构造 和 弱点 ; 识别 反映 已 知 进攻 的 活动 模式 并 向 相 
关 人 士 报警 ; 统计 分 析 异 常 行为 模式 ; 评估 重要 系统 和 数据 文件 的 完整 性 ; 进行 操作 系 
统 的 审计 跟踪 管理 ,并 识别 用 户 违反 安全 策略 的 行为 。 

入 侵 检 测 是 防火 墙 的 合理 补充 ,帮助 系统 对 付 网 络 攻 击 ,扩展 了 系统 管理 员 的 安全 管 
理 能 力 ( 包 括 安全 审计 、 监 视 、 进 攻 识 别 和 响应 ) ,提高 了 信息 安全 基础 结构 的 完整 性 。 

对 一 个 成 功 的 人 侵 检测 系统 来 讲 , 它 不 但 可 使 系统 管理 员 时 刻 了 解 网 络 系统 (包括 程 
序 ,文件 和 硬件 设备 等 ) 的 任何 变更 ,还 能 给 网 络 安全 策略 的 制定 提供 指南 。 更 为 重要 的 
一 点 是 , 它 应 该 管理 .配置 简单 ,从 而 使 非 专 业 人 员 非 常 容易 地 获得 网 络 安全 。 而 且 , 入 侵 
检测 的 规模 还 应 根据 网 络 威胁 、 系 统 构 造 和 安全 需求 的 改变 而 改变 。 入 侵 检测 系统 在 发 
现 入 侵 后 ,会 及 时 做 出 响应 ,包括 切断 网 络 连 接 、 记 录 事 件 和 报警 等 。 


812 入 侵 检 测 基本 模型 


对 入 侵 检测 技术 的 研究 可 以 追溯 到 20 世纪 80 年 代 。1980 年 ,James P. Anderson 负 
责 一 个 由 美国 军 方 设 立 的 针对 计算 机 审计 机 制 的 研究 项 目 ,他 在 项 目 技术 报告 中 提出 ,入 
侵 是 一 种 经 过 预谋 的 、 潜 在 的 .未 经 授权 的 访问 和 操作 ,使 系统 不 可 靠 或 无 法 使 用 的 行为 。 
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他 的 这 篇 技术 报告 被 认为 是 入 侵 检 测 研 究 领 域 中 最 早 的 一 篇 技术 文献 。 

一 般 认 为 人 侵 是 指 在 没有 授权 的 情况 下 ,违背 访问 目标 的 安全 策略 或 危及 系统 安全 
的 行为 。 

1 IDES 模型 

第 一 个 人 侵 检测 模型 IDES 是 由 Dorothy Denning 在 1987 年 提出 的 ,她 发 表 了 入 侵 
检测 领域 内 的 经 典 论 文 An Intrusion Detection Model ,给 出 了 一 种 IDES 的 抽象 模型 ,如 


图 8-1 所 示 。 
规则 设计 和 修改 
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8-1 IDES 模型 


该 模型 由 以 下 六 个 主要 部 分 组 成 。 

@ 主体 (Subjects): 启动 在 目标 系统 上 活动 的 实体 ,如 用 户 。 

@ 对 象 (Objects) : 系统 资源 ,如 文件 ` 设 备 、 命 令 等 。 

@ 审计 记录 (Audit Records): 是 主体 对 对 象 实施 操作 时 系统 产生 的 数据 , 由 
< Subject, Action, Object, Exception-Condition, Resource-Usage, Timer-Stamp > 构成 的 
六 元 组 表示 。Action( 活 动 ) 是 主体 对 对 象 的 操作 ,对 操作 系统 而 言 ,这 些 操 作 包括 读 、 写 、 
登录 、 退 出 等 ; Exception-Condition( 异 常 条 件 ) 是 指 系统 对 主体 的 该 活动 的 异常 报告 ,如 
违反 系统 读 写 权 限 ; Resource-Usage( 资 源 使 用 情况 ) 是 系统 的 资源 消耗 情况 ,如 CPU 、 内 
存 使 用 率 等 ; Time-Stamp( 时 标 ) 是 活动 发 生 时 间 。 

@ 活动 简 档 (Activity Profile) : 用 以 保存 主体 正常 活动 的 有 关 信 息 , 具 体 实现 依赖 
于 检测 方法 ,在 统计 方法 中 从 事件 数量 . 频 度 .资源 消耗 等 方面 度量 ,可 以 使 用 方差 .马尔 
可 夫 模 型 等 方法 实现 。 

@ 异常 记录 (Anomaly Record) : 用 以 表示 异常 事件 的 发 生 情况 。 

@ 规则 集 处 理 引 擎 : 规则 集 是 检查 入 侵 是 否 发 生 的 处 理 引 擎 ,结合 活动 简 档 用 专家 
系统 或 统计 方法 等 分 析 接 收 到 的 审计 记录 ,调整 内 部 规则 或 统计 信息 ,在 判断 有 入 侵 发 生 
时 采取 相应 的 措施 。 
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2 QDF 模型 

公共 入 侵 检测 框架 (Common Intrusion Detection Framework,CIDF) 是 为 了 解决 不 
同和 人 侵 检测 系统 的 互 操作 性 和 共存 问题 而 提出 的 入侵 检测 框架 。 目 前 大 部 分 的 人 侵 检测 
系统 都 是 独立 研究 与 开发 的 ,不 同系 统 间 缺乏 互 操作 性 和 互 用 性 。 一 个 人 侵 检测 系统 的 
模块 无 法 与 另外 一 个 人 侵 检 测 系统 的 模块 进行 数据 共享 ,在 同一 台 主 机 上 两 个 不 同 的 入 
侵 检测 系统 无 法 共存 ,为 了 验证 或 者 改进 某 个 部 分 的 功能 必须 重新 构建 整个 人 侵 检测 系 
统 , 而 无 法 重用 现 有 的 系统 和 构件 ,所 以 就 产生 了 CIDF 模型 来 解决 这 个 问题 。 

CIDF 阐述 了 一 个 人 侵 检 测 系统 的 通用 模型 ,如 图 8-2 所 示 。 





”| 响应 单元 (R-boxes) 

















事件 分 析 器 (A-boxes) 事件 数据 库 (D-boxes) 
| | 
事件 产生 器 (E-boxes) 


原 事件 来 源 
8-2 ”人 入侵 检测 系统 的 通用 模型 


CIDF 将 入 侵 检 测 系统 需要 分 析 的 数据 统称 为 事件 (Event) , 它 可 以 是 基于 网 络 的 人 
侵 检测 系统 网 络 中 的 数据 ,也 可 以 是 从 系统 日 志 或 者 其 他 途径 得 到 的 信息 。 由 于 CIDF 
有 一 个 标准 格式 GIDO, 所 以 这 些 组 件 也 适用 于 其 他 环境 ,只 需要 将 典型 的 环境 特征 转化 
成 GIDO 格式 即 可 ,从 而 提高 了 组 件 之 间 的 消息 共享 和 互通 。 

GIDO(Generalized Intrusion Detection Objects) 即 统一 入侵 检测 对 象 ,是 对 事件 进行 
编码 的 标准 通用 格式 。 此 格式 是 由 CIDF 描述 语言 CISL 定义 的 , 它 既 可 以 是 发 生 在 系统 
中 的 审计 事件 ,也 可 以 是 对 审计 事件 的 分 析 结 果 。 

(1) 事件 产生 器 

事件 产生 器 (Event Generator) 的 任务 是 从 入 侵 检测 系统 之 外 的 计算 环境 中 收集 事 
件 , 并 将 这 些 事件 转换 成 CIDF 的 GIDO 格式 传送 给 其 他 组 件 。 例 如 ,事件 产生 器 可 以 是 
读 取 C2 级 审计 踪迹 并 将 其 转换 为 GIDO 格式 的 过 滤器 ,也 可 以 是 被 动 地 监视 网 络 并 根 
据 网 络 数据 流产 生 事 件 的 另外 一 种 过 滤器 ,还 可 以 是 SQL 数据 库 中 产生 描述 事务 的 事件 
的 应 用 代码 。 

(2) 事件 分 析 器 

事件 分 析 器 (Event Analyzers) 分 析 从 其 他 组 件 收 到 的 GIDO ,并 产生 新 的 GIDO 再 
传送 给 其 他 组 件 。 事 件 分 析 器 可 以 是 一 个 轮廓 描述 工具 ,统计 性 地 检查 现在 的 事件 可 能 
与 以 前 某 个 事件 来 自 同一 个 时 间 序 列 ; 也 可 以 是 一 个 特征 检测 工具 ,用 于 在 一 个 事件 序 
列 中 检查 是 否 有 已 知 的 滥用 攻击 特征 ; 此 外 ,事件 分 析 器 还 可 以 是 一 个 相关 器 ,观察 事件 
之 间 的 关系 ,将 有 联系 的 事件 放 到 一 起 ,以 利于 以 后 的 进一步 分 析 。 
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(3) 事件 数据 库 

事件 数据 库 (Event Database) 用 来 存储 GIDO, 以 备 系 统 需要 的 时 候 使 用 。 

(4) 响应 单元 

响应 单元 (Response Units) 处 理 收 到 的 GIDO, 并 据 此 采取 相应 的 措施 ,如 杀 死 相关 
进程 ,将 连接 复位 、 修 改 文件 权限 等 。 


8.2 入侵 检测 技术 概述 





入 侵 检测 技术 是 入 侵 检 测 系统 的 核心 ,检测 引擎 通常 采用 两 种 类 型 的 检测 技术 : 异 
常 检测 (Anomaly Detection) 和 误 用 检测 (Misuse Detection) 。 


821 异常 检测 


异常 检测 也 称 基 于 行为 的 检测 。 它 是 建立 在 如 下 的 假设 基础 上 的 , 即 任何 一 种 入 侵 
检测 行为 都 能 由 偏离 正常 或 者 所 期 望 的 系统 和 用 户 的 活动 而 被 检测 出 来 。 描 述 正常 或 合 
法 活动 的 模型 是 从 过 去 通过 各 种 渠道 收集 到 的 大 量 历史 活动 资料 的 分 析 中 得 出 的 。 入 侵 
检测 系统 将 它 与 当前 的 活动 情况 进行 对 比 , 如 果 发 现 当 前 状态 偏离 了 正常 的 模型 状态 , 则 
系统 就 发 出 警报 信号 ,这 就 是 说 ,任何 不 符合 以 往 活动 规律 的 行为 都 将 被 视 为 和 人 侵 行为 。 
因此 ,异常 检测 系统 的 检测 完整 性 很 高 ,但 是 要 保证 它 具有 很 高 的 正确 性 却 很 困难 。 

此 类 检测 技术 的 优点 在 于 它 能 够 发 现任 何 企图 发 掘 ,试探 系统 最 新 和 未 知 漏洞 的 行 
为 ,同时 在 某 种 程度 上 , 它 较 少 依赖 于 特定 的 操作 系统 环境 。 另外 ,对 合法 用 户 超越 权限 
的 违法 行为 的 检测 能 力 大 大 加 强 。 

较 高 的 虚 警 率 是 此 种 方法 的 主要 缺陷 ,因为 信息 系统 所 有 的 正常 活动 并 不 一 定 在 学 
习 建 模 阶 段 就 被 全 部 了 解 。 另 外 ,系统 的 活动 行为 是 不 断 变化 的 ,这 就 需要 不 断 的 在 线 学 
习 。 该 过 程 可 能 带 来 两 种 后 果 : 其 一 是 在 学 习 阶 段 , 入 侵 检测 系统 无 法 正常 工作 ,否则 会 
生成 额外 的 虚假 警告 信号 ; 其 二 是 在 学 习 阶 段 ,信息 系统 正 遭 受 着 非法 的 入 侵 攻 击 ,导致 
入 侵 检测 系统 的 学 习 结 果 中 包含 了 相关 入 侵 检测 行为 的 信息 ,这 样 系统 将 在 以 后 无 法 检 
测 出 该 种 行为 的 人 侵 行为 。 

异常 检测 方法 主要 有 以 下 几 种 。 

(1) 统计 分 析 

统计 分 析 (Statistics Analysis) 是 基于 行为 的 入 侵 检测 中 应 用 最 早 也 是 最 多 的 一 种 方 
法 。 首 先 ,检测 引擎 根据 用 户 对 象 的 动作 为 每 个 用 户 建立 一 个 特征 表 , 通 过 比较 当前 特征 
与 已 经 存储 定型 的 以 前 特征 ,从 而 判断 是 否 是 异常 行为 。 用 于 描述 特征 的 变量 类 型 有 : 

@ 操作 密度 : 度量 操作 执行 的 速率 。 

@ 审计 记录 分 布 : 度量 在 最 新 记录 中 所 有 操作 类 型 的 分 布 。 

@ 范畴 尺度 : 度量 在 一 定 动作 范畴 内 特定 操作 的 分 布 情况 。 

@ 数值 尺度 : 度量 那些 产生 数值 结果 的 操作 ,如 CPU 使 用 量 .IO 使 用 量 。 

这 种 方法 的 优越 性 在 于 能 应 用 成 熟 的 概率 统计 理论 。 但 也 有 不 足 之 处 ,如 统计 检测 
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对 事件 发 生 的 次 序 不 敏感 ,也 就 是 说 ,完全 依靠 统计 理论 可 能 漏 检 那 些 利用 彼此 关联 事件 
的 入 侵 行为 。 其 次 , 设 定 是 否 入 侵 的 判断 冰 值 也 比较 困难 。 阔 值 太 低 则 漏 检 率 提高 , 阔 值 
太 高 则 误 检 率 提高 。 

(2) 神经 网 络 

神经 网 络 (Neural Network) 系 统 是 由 大 量 的 同时 也 是 很 简单 的 处 理 单元 (或 称 神经 
元 ) 广 泛 地 互相 连接 而 形成 的 复杂 网 络 系统 。 它 反映 了 人 脑 功能 的 许多 基本 特性 ,但 它 并 
不 是 人 脑 神 经 网 络 系统 的 真实 写照 ,而 只 是 对 其 做 某 种 简化 、 抽 象 和 模拟 。 

神经 网 络 的 引入 为 人 侵 检 测 系统 的 研究 开辟 了 新 的 途径 。 它 有 很 多 优点 ,例如 自学 
习 、 自 适应 性 的 能 力 , 因 此 ,在 基于 神经 网 络 的 入侵 检测 系统 中 ,神经 网 络 通 过 学 习 已 有 的 
输入 输出 矢量 对 集合 ,进而 抽象 出 其 内 在 的 联系 ,然后 得 到 新 的 一 种 输入 输出 关系 , 即 通 
过 自学 习 从 中 提取 正常 用 户 或 者 系统 活动 的 特征 模式 ,不 必 对 大 量 数据 进行 存 取 就 可 以 
确定 那些 行为 是 异常 的 。 

然而 目前 尚 无 可 靠 的 理论 能 够 说 明神 经 网 络 是 如 何 理解 学 习 范 例 中 的 内 在 关系 的 ， 
所 以 也 无 法 清楚 地 解释 它 是 如 何 发 现 并 理解 人 侵 行为 的 。 神 经 网 络 技术 和 统计 分 析 技术 
的 相似 之 处 已 经 被 理论 证 明 , 而 使 用 神经 网 络 技术 的 优势 在 于 它 能 够 以 一 种 更 加 简洁 \ 快 
速 的 方式 来 表示 各 种 状态 变量 之 间 的 非 线 性 关系 。 

(3) 基于 数据 挖掘 的 异常 检测 

计算 机 网 络 会 产生 大 量 的 审计 记录 ,它们 往往 以 文件 的 形式 存放 , 若 单独 依靠 手工 方 
法 去 发 现 记 录 中 的 异常 现象 是 不 够 的 ,而 且 操作 不 方便 ,难以 发 现 审计 记录 间 的 关系 。 为 
此 ,可 以 将 数据 挖掘 技术 应 用 于 入 侵 检测 领域 ,从 审计 数据 或 者 数据 流 中 提取 感 兴趣 的 知 
识 , 这 些 知识 是 隐 含 的 ,事先 未 知 的 、 潜 在 的 有 用 信息 。 提 取 的 知识 表现 为 概念 规则、 规 
律 .模式 等 形式 ,并 用 这 些 知 识 检测 异常 入 侵 和 已 知人 侵 。 基 于 数据 挖掘 的 异常 检测 方法 
的 优点 是 适应 处 理 大 量 数据 的 情况 。 但 是 ,要 将 它 用 于 实时 入 侵 检 测 ,还 需要 开发 出 有 效 
的 数据 挖掘 算法 和 相 适 应 的 体系 。 目 前 ,关于 异常 检测 技术 的 研究 非常 活跃 ,提出 了 很 多 
方法 ,例如 ,特征 选择 法 、 贝 叶 斯 推理 法 、 贝 叶 斯 网 络 法 ,模式 预测 法 .机 器 学 习 法 等 。 


822 误 用 检测 


误 用 检测 系统 的 应 用 建立 在 对 过 去 各 种 已 知 网 络 入 侵 检测 方法 和 系统 缺陷 知识 的 积 
累 上 , 它 需 要 首先 建立 一 个 包含 上 述 已 知 信息 的 数据 库 , 然 后 在 收集 到 的 网 络 活动 信息 中 
寻找 与 数据 库 项 目 匹配 的 蛛丝马迹 。 当 发 现 符合 条 件 的 活动 线索 后 , 它 就 会 触发 一 个 警 
告 ,也 就 是 说 ,任何 不 符合 特定 匹配 条 件 的 活动 都 将 被 认为 是 合法 和 可 以 接受 的 ,哪怕 其 
中 包含 着 隐蔽 的 入 侵 行为 。 因 此 , 误 用 检测 系统 具备 较 高 的 检测 准确 性 ,但 是 它 的 完整 性 
(检测 全 部 人 侵 行 为 的 能 力 ) 则 取决 于 其 数据 库 的 知识 全 面 程度 和 及 时 更 新 程度 。 

可 以 看 出 , 误 用 检测 系统 的 优点 在 于 具有 非常 低 的 虚 警 率 ,同时 检测 的 匹配 条 件 可 以 
进行 清楚 的 描述 ,从 而 有 利于 安全 管理 人 员 采 取 清 晰 明确 的 预防 保护 措施 。 误 用 检测 系 
统 的 一 个 明显 缺陷 是 : 收集 所 有 已 知 或 者 已 经 发 现 攻击 行为 和 系统 脆弱 性 信息 的 困难 
性 ,以 及 更 新 庞大 数据 库 需 要 耗费 大 量 的 精力 和 时 间 。 另 外 存在 的 问题 就 是 可 移植 性 , 因 
为 关于 网 络 攻击 的 信息 绝 大 多 数 是 和 主机 的 操作 系统 、 软 件 平台 和 应 用 类 型 密切 相关 的 ， 
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导致 这 样 的 人 侵 检测 系统 只 能 在 某 个 特定 的 环境 下 生效 。 最 后 ,检测 内 部 用 户 的 滥用 权 
限 活动 将 变 得 十 分 困难 ,因为 通常 该 种 行为 并 未 利用 任何 系统 缺陷 。 

误 用 检测 方法 有 以 下 几 种 。 

(1) 模式 匹配 

模式 匹配 (Pattern Match) 就 是 将 收集 到 的 信息 与 已 知 的 网 络 和 人 侵 和 系统 误 用 模式 
数据 库 进 行 比较 ,从 而 发 现 违背 安全 策略 的 行为 。 该 过 程 可 以 很 简单 ,如 通过 字符 串 匹 配 
发 现 一 个 简单 的 条 目 或 者 指令 ; 也 可 以 很 复杂 ,如 利用 形式 化 的 数学 表达 式 来 表示 安全 
状态 的 变化 。 模 式 匹 配方 法 的 优点 是 只 需 收 集 与 人 侵 相关 的 数据 集合 ,可 以 显著 减少 系 
统 负担 ,检测 的 准确 率 和 效率 比较 高 。 

(2) 专家 系统 

专家 系统 (Expert System) 是 基于 知识 的 检测 中 运用 最 多 的 一 种 方法 。 将 有 关 入 侵 
的 知识 转化 为 if-then 结构 的 规则 ,即将 构成 人 侵 要 求 的 条 件 转化 为 庄 部 分 ,将 发 现 人 侵 
后 采取 的 相应 措施 转化 为 then 部 分 。 当 其 中 某 个 或 者 某 部 分 条 件 满 足 时 ,系统 就 判断 为 
人 侵 行为 发 生 。 其 中 的 if-then 结构 构成 描述 具体 攻击 的 规则 库 , 状 态 行为 及 其 请 义 环境 
可 根据 审计 事件 得 到 ,推理 机 根据 规则 和 行为 完成 判断 工作 。 在 具体 实现 中 ,专家 系统 主 
要 面临 以 下 问题 。 

JD 全 面 性 问题 , 即 难以 科学 地 从 各 种 人 侵 手 段 中 抽象 出 全 面 的 规则 化 知识 。 

@ 效率 问题 , 即 所 需 处 理 的 数据 量 过 大 ,而 且 大 型 系统 上 ,如 何 获得 实时 连续 的 审计 
数据 也 是 个 问题 。 

(3) 模型 推理 

模型 推理 是 指 结 合 攻 击 脚本 推理 出 入 侵 行为 是 否 出 现 。 其 中 有 关 攻 击 者 行为 的 知识 
被 描述 为 : 攻击 者 目的 .攻击 者 达到 此 目的 的 可 能 行为 步骤 ,以 及 对 系统 的 非法 使 用 等 。 
根据 这 些 知识 建立 攻击 脚本 库 。 每 一 个 脚本 都 由 一 系列 攻击 行为 组 成 。 检 测 时 先 将 这 些 
攻击 脚本 的 子 集 看 作 系统 正面 临 的 攻击 。 然 后 通过 一 个 称 为 预测 器 的 程序 模块 根据 当前 
行为 模式 ,产生 下 个 需要 验证 的 攻击 脚本 子 集 , 并 将 它 传 给 决策 器 。 决 策 器 收 到 信息 后 ， 
根据 这 些 假设 的 攻击 行为 在 审计 记录 中 的 可 能 出 现 方式 ,将 它们 翻译 成 与 特定 系统 匹 
配 的 审计 记录 格式 。 然 后 在 审计 记录 中 寻找 相应 信息 来 确认 或 者 否认 这 些 攻击 。 初 
始 攻击 脚本 子 集 的 假设 容易 满足 : 易于 在 审计 记录 中 识别 ,并 且 出 现 频率 很 高 。 随 着 
一 些 脚本 被 确认 的 次 数 增多 ,另外 一 些 脚本 被 确认 的 次 数 减 少 ,攻击 脚本 不 断 得 到 
更 新 。 

(4) 状态 转换 分 析 

状态 转换 分 析 (State Transition Analysis) 就 是 将 状态 转换 应 用 于 入 侵 检测 行为 的 分 
析 。 状 态 转 换 法 分 析 入 侵 检测 过 程 看 作 一 个 行为 序列 ,这 个 行为 序列 导致 系统 从 初始 状 
态 转 人 被 入 侵 状 态 分 析 时 首先 针对 每 一 种 入 侵 方 法 确定 系统 的 初始 状态 和 被 入 侵 状 态 ， 
以 及 导致 状态 转换 的 转换 条 件 , 即 导致 系统 进入 被 入 侵 状 态 必须 执行 的 操作 (特征 事件 )。 
然后 用 状态 转换 图 来 表示 每 一 个 状态 和 特征 事件 ,这些 事件 被 集成 于 模型 中 ,所 以 检测 时 
不 需要 一 个 个 地 查找 审计 记录 。 但 是 状态 转换 分 析 是 针对 事件 序列 进行 分 析 , 所 以 不 善 
于 分 析 过 分 复杂 的 事件 ,而 且 不 能 检测 与 系统 状态 无 关 的 人 侵 。 
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(5) 条 件 概 率 误 用 检测 

条 件 概率 误 用 检测 方法 将 入 侵 检测 方式 对 应 于 一 个 事件 序列 ,然后 通过 观测 到 的 事 
件 发 生 情况 来 推测 人 侵 的 出 现 。 这 种 方法 的 依据 是 外 部 事件 序列 ,根据 贝 叶 斯 定理 进行 
推理 检测 人 侵 。 其 主要 缺点 是 先 验 概率 难以 给 出 ,而 且 事 件 的 独立 性 难以 满足 。 


8.3 入侵 检测 系统 





入 侵 检测 系统 (Intrusion Detection System,IDS) 是 一 种 对 网 络 传输 进行 即时 监视 ， 
在 发 现 可 疑 传 输 时 发 出 警报 或 者 采取 主动 反应 措施 的 网 络 安全 设备 。 它 与 其 他 网 络 安全 
设备 的 不 同 之 处 在 于 : IDS 是 一 种 积极 主动 的 安全 防护 技术 。IDS 最 早出 现在 1980 年 
4 月 。20 世纪 80 年 代 中 期 ,IDS 逐渐 发 展 成 为 人 侵 检测 专家 系统 (IDES) 。1990 年 ,IDS 
分 化 为 基于 网 络 的 IDS 和 基于 主机 的 IDS, 后 又 出 现 分 布 式 IDS。 目 前 ,IDS 发 展 迅 速 ， 
已 有 人 宣称 IDS 可 以 完全 取代 防火 墙 。 


831 入 侵 检 测 系统 的 组 成 


从 功能 逻辑 上 来 讲 ,入 侵 检 测 系统 由 探测 器 .分析 器 和 用 户 接口 组 成 。 

(1) 探测 器 

探测 器 (Sensor) 主要 负责 收集 数据 。 探 测 器 的 输入 数据 流 包括 任何 可 能 包含 人 侵 行 
为 线索 的 系统 数据 ,例如 网 络 数据 包 、 日 志文 件 和 系统 调用 记录 等 。 探 测 器 将 这 些 数据 收 
集 起 来 ,然后 发 送 到 分 析 器 进行 处 理 。 

(2) 分 析 器 

分 析 器 (Analyzer) 又 称 检测 引擎 (Detection Engine) , 它 负 责 从 一 个 或 者 多 个 探测 器 
处 接收 信息 ,并 通过 分 析 来 确定 是 否 发 生 了 非法 入 侵 检测 活动 。 分 析 器 组 件 的 输出 为 标 
识 入 侵 行为 是 否 发 生 的 指示 信号 ,例如 一 个 警告 信和 号。 该 指示 信号 还 可 能 包括 相关 的 证 
据 信 息 。 另 外 ,分 析 器 组 件 还 能 够 提供 关于 可 能 的 反应 措施 的 相关 信息 。 

(3) 用 户 接口 

和 人 侵 检 测 系统 的 用 户 接口 (User Interface) 使 得 用 户 易于 观察 系统 的 输出 信号 ,并 对 
系统 行为 进行 控制 。 在 某 些 系统 中 ,用 户 接口 又 称 * 管 理 器 “控制 器 "或 者 “控制 台 ” 等 。 


832 入 侵 检测 系统 的 分 类 


根据 检测 数据 的 来 源 的 不 同 , 入 侵 检 测 系统 可 分 为 基于 主机 的 入 侵 检测 系统 和 基于 
网 络 的 入 侵 检测 系统 。 
基于 主机 的 入 侵 检 测 系统 (HIDS) 从 单个 主机 上 提取 数据 (如 审计 记录 等 ) 作 为 人 侵 
分 析 的 数据 源 , 而 基于 网 络 的 入 侵 检 测 系统 (NIDS) 从 网 络 上 提取 数据 (如 网 络 链 路 层 的 
数据 帧 ) 作 为 人 侵 分 析 的 数据 源 。 通 常 ,基于 主机 的 入 侵 检测 系统 只 能 检测 单个 主机 系 
统 , 而 基于 网 络 的 入 侵 检测 系统 可 以 对 本 网 段 的 多 个 主机 系统 进行 检测 ,多 个 分 布 于 不 同 
网 段 上 的 基于 网 络 的 入 侵 检 测 系统 可 以 协同 工作 ,以 提供 更 强 的 入 侵 检测 能 力 。 
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1 基于 主机 的 入 侵 检 测 系 统 

基于 主机 的 入 侵 检 测 系 统 将 检测 模块 驻 留 在 被 保护 系统 上 ,通过 提取 被 保护 系统 的 
运行 数据 并 进行 人 侵 分 析 来 实现 入 侵 检测 的 功能 。 目 前 ,基于 主机 的 入 侵 检测 系统 很 多 
是 基于 主机 日 志 分 析 来 发 现 人 侵 行为 。 基 于 主机 的 人 侵 检测 系统 具有 检测 效率 高 .分析 
代价 小 、 分 析 速 度 快 的 特点 ,能 够 迅速 并 准确 地 定位 入侵 者 ,并 可 以 结合 操作 系统 和 应 用 
程序 的 行为 特征 对 入 侵 进 行进 一 步 分 析 。 基 于 主机 的 和 人 侵 检测 系统 存在 的 问题 是 : 首先 
它 在 一 定 程度 上 依赖 于 系统 的 可 靠 性 , 它 要 求 系统 本 身 应 该 具备 基本 的 安全 功能 并 具有 
合理 的 设置 ,然后 才能 提取 入 侵 信 息 ; 有 时 即使 进行 了 正确 的 设置 ,对 操作 系统 熟悉 的 攻 
击 者 仍然 有 可 能 在 入 侵 行为 完成 后 及 时 地 将 系统 日 志 抹 去 ,从 而 不 被 发 觉 ; 并 且 主 机 的 
日 志 能 够 提供 的 信息 有 限 , 有 的 人 侵 手 段 和 途径 不 会 在 日 志 中 有 所 反映 ,日 志 系统 对 有 的 
入 侵 行为 不 能 做 出 正确 的 响应 。 

基于 主机 的 人 侵 检测 系统 的 优点 如 下 。 

QO@ 可 监视 特定 的 系统 活动 。 由 于 基于 主机 的 IDS 使 用 含有 已 发 生 事件 信息 ,能 够 检 
测 到 基于 网 络 的 IDS 检测 不 出 的 攻击 ,如 监视 用 户 访问 文件 的 活动 ,包括 文件 访问 、 主 要 
系统 文件 和 可 执行 文件 的 改变 、 试 图 建立 新 的 可 执行 文件 或 者 试图 访问 特殊 的 设备 ,还 可 
监视 通常 只 有 管理 员 才 能 实施 的 非 正 常 行为 ,包括 用 户 账户 、 删 除 、 更 改 的 情况 等 。 

@ 适用 于 加 密 及 交换 的 环境 。 交 换 设备 可 将 大 型 网 络 分 成 许多 小 型 网 段 加 以 管理 。 
基于 主机 的 IDS 可 安装 在 所 需 检测 的 重要 主机 上 ,在 交换 的 环境 中 具有 更 高 的 能 见 度 。 
而 且 , 基 于 主机 的 IDS 也 能 适应 加 密 的 环境 。 

@ 不 要 求 额外 的 硬件 设备 。 基 于 主机 的 IDS 存在 于 现行 的 主机 和 服务 器 之 中 ,包括 
文件 服务 器 、Web 服务 器 及 其 他 共享 资源 。 它 们 不 需要 在 网 络 上 另外 安装 、 维 护 及 管理 
硬件 设备 。 

基于 主机 的 入 侵 检测 系统 的 缺点 如 下 。 

Q@ 基于 主机 的 IDS 需要 安装 在 需要 保护 的 设备 上 ,会 降低 系统 效率 。 当 一 个 数据 库 
服务 器 需要 保护 时 ,就 要 在 该 服务 器 中 安装 入 侵 检测 系统 。 这 会 降低 应 用 系统 的 效率 ,也 
会 带 来 一 些 额 外 的 安全 问题 。 

@ 基于 主机 的 入 侵 检测 系统 依赖 于 服务 器 固有 的 日 志 与 监视 能 力 。 如 果 服 务 器 没 
有 配置 日 志 功 能 , 则 必须 重新 配置 ,这 将 会 给 运行 中 的 业务 系统 带 来 不 可 预见 的 性 能 
影响 。 

@ 全 面部 署 主机 入 侵 检 测 系统 的 代价 较 大 。 企 业 很 难 将 所 有 主机 用 入 侵 检 测 系 统 
进行 保护 ,只 能 选择 部 分 主机 进行 保护 。 那 些 未 安装 主机 入 侵 检测 系统 的 机 器 将 成 为 保 
护 的 盲点 ,入 侵 者 可 利用 这 些 机 器 达到 攻击 的 目标 。 

@ 主机 入 侵 检测 系统 只 能 分 析 与 本 地 主机 相关 的 通信 ,不 能 检测 网 络 上 的 通信 。 


2 基于 网 络 的 入 侵 检测 系统 

基于 网 络 的 入侵 检测 系统 通过 网 络 监 视 来 实现 数据 提取 。 在 Internet 中 ,局 域 网 普 
遍 采 用 以 太 网 协议 。 该 协议 定义 主机 进行 数据 传输 时 采用 子 网 广播 的 方式 ,任何 一 台 主 
机 发 送 的 数据 包 ,都 会 在 所 经 过 的 子 网 中 进行 广播 ,也 就 是 说 ,任何 一 台 主 机 接收 和 发 送 
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的 数据 都 可 以 被 同一 子 网 内 的 其 他 主机 接收 。 在 正常 设置 下 ,主机 的 网 卡 对 每 一 个 到 达 
的 数据 包 进 行 过 滤 , 只 将 目的 地 址 是 本 机 或 广播 地 址 的 数据 包 放 和 人 接收 缓冲 区 ,而 将 其 他 
数据 包 丢 弃 , 因 此 ,正常 情况 下 网 络 上 的 主机 表现 为 只 关心 与 本 机 有 关 的 数据 包 , 但 是 将 
网 卡 的 接收 模式 进行 适当 的 设置 后 就 可 以 改变 网 卡 的 过 滤 策 略 ,使 网 卡 能 够 接收 经 过 本 
网 段 的 所 有 数据 包 , 无 论 这 些 数 据 包 的 目的 地 是 否 是 该 主机 。 网 卡 的 这 种 接收 模式 称 为 
混杂 模式 ,目前 绝 大 部 分 网 卡 都 提供 这 种 设置 ,因此 ,在 需要 的 时 候 , 对 网 卡 进行 合理 的 设 
置 就 能 获得 经 过 本 网 段 的 所 有 通信 信息 ,从 而 实现 网 络 监视 的 功能 。 

网 络 监 视 具 有 良好 的 特性 : 理论 上 ,网络 监 视 可 以 获得 所 有 的 网 络 信息 数据 ,只 要 时 
间 人 允许 ,可 以 在 庞大 的 数据 堆 中 提取 和 分 析 需 要 的 数据 ; 可 以 对 一 个 子 网 进行 检测 ,一 个 
监视 模块 可 以 监视 同一 网 段 的 多 台 主 机 的 网 络 行为 ,不 改变 系统 和 网 络 的 工作 模式 ,也 不 
影响 主机 性 能 和 网 络 性 能 ; 它 可 以 从 低层 开始 分 析 , 对 基于 协议 攻击 的 和 人 侵 手段 有 较 强 
的 分 析 能 力 。 网 络 监视 的 主要 问题 是 监视 数据 量 过 于 庞大 且 不 能 结合 操作 系统 特征 来 对 
网 络 行为 进行 准确 的 判断 。 图 8-3 所 示 为 基于 网 络 的 入 侵 检测 系统 结构 。 
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8-3 ”基于 网 络 的 入 侵 检 测 系统 结构 


基于 网 络 的 人 侵 检 测 系统 放置 在 比较 重要 的 网 段 内 ,监视 网 段 中 的 各 种 数据 包 , 对 每 
一 个 数据 包 或 可 疑 的 数据 包 进 行 特征 分 析 和 异常 检测 。 如 果 数 据 包 与 系统 内 置 的 某 些 规 
则 或 策略 吻合 ,和 人 侵 检测 系统 就 会 发 出 警报 甚至 直接 切断 网 络 连接 。 基 于 网 络 的 和 人 侵 检 
测 方式 具有 较 强 的 数据 提取 能 力 ,因此 目前 很 多 人 侵 检测 系统 倾向 于 采用 基于 网 络 的 检 
测 手段 来 实现 。NIDS 具有 如 下 优点 。 

Q@ 可 检测 低层 协议 的 攻击 。NIDS 检查 所 有 数据 包 的 头 部 和 有 效 负 载 的 内 容 , 从 而 
能 很 好 地 检测 出 利用 低层 网 络 协议 进行 的 攻击 。 

@ 攻击 者 不 易 转移 证 据 。NIDS 使 用 正在 发 生 的 网 络 通信 数据 进行 检测 ,所 以 攻击 
者 无 法 转移 证 据 。 被 捕获 的 数据 不 仅 包括 攻击 的 方法 ,而 且 包括 可 识别 黑客 身份 信息 ,其 
至 可 以 检测 未 成 功 的 攻击 和 不 良 意 图 。 

@ 不 需要 改变 服务 器 等 主机 的 配置 。 由 于 它 不 会 在 业务 系统 的 主机 中 安装 额外 的 
软件 ,从 而 不 会 影响 这 些 机 器 的 CPU、1/O 与 磁盘 等 资源 的 使 用 ,不 会 影响 业务 系统 的 
性 能 。 
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@ 可 靠 性 好 。NIDS 不 运行 其 应 用 程序 ,不 提供 网 络 服务 ,可 以 不 响应 其 他 计算 机 ， 
不 会 因为 目标 系统 崩溃 而 停止 检测 ,因此 可 以 做 得 比较 隐藏 和 安全 。NIDS 不 以 路 由 器 、 
防火 墙 等 关键 设备 的 方式 工作 , 它 不 会 成 为 系统 中 的 关键 路 径 ,NIDS 发 生 故 障 不 会 影响 
正常 业务 的 运行 。 

@ 与 操作 系统 无 关 , 不 占用 被 检测 系统 的 资源 。NIDS 主要 检测 所 捕获 的 网 络 通信 
数据 ,与 被 检测 主机 的 操作 系统 和 其 运行 状态 无 关 , 并 且 不 占用 被 检测 系统 的 资源 。 

网 络 人 侵 检测 系统 在 实际 应 用 方面 存在 许多 不 足 : 

@ 容易 受到 拒绝 服务 攻击 。NIDS 要 检测 所 捕获 的 网 络 通信 数据 并 维持 许多 网 络 事 
件 的 状态 信息 ,因此 很 容易 受到 拒绝 服务 攻击 。 例 如 ,入 侵 者 可 以 发 送 许多 到 不 同 节点 的 
数据 包 分 段 , 使 NIDS 忙于 组 装 数据 包 而 耗 尽 其 资源 或 降低 其 处 理 速度 。 

@ 不 适合 于 交换 式 网 络 。 交 换 式 网 络 对 NIDS 将 会 造成 问题 ,因为 连 到 交换 式 网 络 
上 的 NIDS 只 能 看 到 发 送 给 自己 的 数据 包 , 因 而 无 法 检测 网 络 人 侵 行为 。 

@ 监测 复杂 的 攻击 较 弱 。NIDS 为 了 性 能 目标 通常 采用 特征 检测 的 方法 , 它 可 以 检 
测 出 一 些 普通 攻击 ,但 很 难 实现 一 些 复杂 的 、 需 要 大 量 计算 与 分 析 时 间 的 攻击 检测 。 

@@ 不 适合 加 密 环境 。 网 络 入 侵 检测 系统 通常 无 法 对 捕获 的 加 密 数 据 进 行 解密 ,也 就 
失去 了 入 侵 检 测 的 功能 。 


833 常见 的 入 侵 检 测 系 统 


1 Short 

在 1998 年 ,Martin Roesch 用 C 语言 开发 了 开放 源 代 码 (Open Source) 的 入侵 检测 系 
统 Snort。 直 至 今天 ,Snort 已 发 展 成 为 一 个 具备 多 平台 (Multi-Platform) 、 实 时 (Real- 
Time) 流 量 分 析 、 网 络 IP 数据 包 (Packet) 记 录 等 特性 的 强大 的 网 络 入 侵 检 测 / 防 御 系 统 
(Network Intrusion Detection/Prevention System) , 即 NIDS/NIPS。Snort 符合 通用 公 
共 许 可 (GNU General Pubic License,GPL), 在 网 上 可 以 通过 免费 下 载 获 得 Snort, 并 且 
只 需要 几 分 钟 就 可 以 安装 并 开始 使 用 它 。Snort 基于 libpcap。 

Snort 有 三 种 工作 模式 : 嗅 探 器 .数据 包 记录 器 .网 络 人 侵 检 测 系统 。 嗅 探 器 模式 仅 
仅 是 从 网 络 上 读 取 数 据 包 并 作为 连续 不 断 的 流 显 示 在 终端 上 。 数 据 包 记录 器 模式 把 数据 
包 记 录 到 硬盘 上 。 网 络 入侵 检测 模式 是 最 复杂 的 ,而 且 是 可 配置 的 ,可 以 让 Snort 分 析 网 
络 数据 流 以 匹配 用 户 定义 的 一 些 规则 ,并 根据 检测 结果 采取 一 定 的 动作 。 

Snort 能 够 对 网 络 上 的 数据 包 进 行 抓 包 分 析 , 但 区 别 于 其 他 嗅 探 器 的 是 : 它 能 根据 所 
定义 的 规则 进行 响应 及 处 理 。Snort 对 获取 的 数据 包 进 行 各 规则 的 分 析 后 ,根据 规则 链 ， 
可 采取 Activation( 报 警 并 启动 另外 一 个 动态 规则 链 )、. Dynamic( 由 其 他 规则 包 调 用 )、 
Alert( 报 警 )、.Pass( 忽 略 )、Log( 不 报警 但 记录 网 络 流量 ) 五 种 响应 的 机 制 。 

Snort 有 数据 包 嗅 探 , 数 据 包 分 析 \ 数 据 包 检测 、 响 应 处 理 等 多 种 功能 ,每 个 模块 实现 
不 同 的 功能 ,各 模块 采用 插件 的 方式 和 Snort 相 结合 ,功能 扩展 方便 。 例 如 , 预 处 理 插 件 
的 功能 就 是 在 规则 匹配 误 用 检测 之 前 运行 ,完成 TIP 碎片 重组 .HTTP 解码 .Telnet 解码 
等 功能 ,处 理 插件 完成 检查 协议 各 字段 .关闭 连接 、 攻 击 响应 等 功能 ,输出 搬 件 将 处 理 后 的 
各 种 情况 以 日 志 或 警告 的 方式 输出 。 
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2 CSSEC HDS 

这 是 一 个 基于 主机 的 开源 人 侵 检 测 系统 , 它 可 以 执行 日 志 分 析 、 完 整 性 检查 、 
Windows 注册 表 监 视 ,rootkit 检测 ,实时 警告 以 及 动态 的 适时 响应 。 除 了 其 IDS 的 功能 
之 外 , 它 通常 还 可 以 被 用 作 一 个 SEM/SIM 解决 方案 。 因 为 其 强大 的 日 志 分 析 引 擎 ,互联 
网 供应 商 、 大 学 和 数据 中 心 都 乐意 运行 OSSEC HIDS, 以 监视 和 分 析 其 防火 墙 \.IDS、Web 
服务 器 和 身份 验证 日 志 。 


3 FagoueFragouter 

这 是 一 个 能 够 逃避 网 络 人 侵 检 测 的 工具 箱 , 是 一 个 自分 段 的 路 由 程序 , 它 能 够 截获 、 
修改 并 重 写 发 往 一 台 特 定 主机 的 通信 ,可 以 实施 多 种 攻击 ,如 插 和 人、 逃避、 拒绝 服务 攻击 
等 。 它 拥有 一 套 简单 的 规则 集 ,可 以 对 发 往 某 一 台 特 定 主机 的 数据 包 延 迟 发 送 , 或 复制 、 
丢弃 、 分 段 . 重 释 .打印 .记录 、 源 路 由 跟踪 等 。 严 格 来 讲 , 这 个 工具 是 用 于 协助 测试 网 络 人 
侵 检测 系统 的 ,也 可 以 协助 测试 防火 墙 和 基本 的 TCP/IP 堆栈 行为 。 


4 BASE 

BASE 又 称 基本 的 分 析 和 安全 引擎 ,是 一 个 基于 PHP 的 分 析 引 擎 , 它 可 以 搜索 .处 理 
由 各 种 各 样 的 IDS 防火墙. 网 络 监视 工具 所 生成 的 安全 事件 数据 。 其 特性 包括 一 个 查询 
生成 器 并 查找 接口 ,这 种 接口 能 够 发 现 不 同 匹 配 模式 的 警告 ,还 包括 一 个 数据 包 查 看 器 / 
解码 器 ,以 及 基于 时 间 、 签 名 ,协议 IP 地 址 的 统计 图 表 等 。 

5 Saul 

这 是 一 款 被 称 为 网 络 安全 专家 监视 网 络 活动 的 控制 台 工 具 , 它 可 以 用 于 网 络 安全 分 
析 。 其 主要 部 件 是 一 个 直观 的 GUI 界面 ,可 以 从 Snort/barnyard 提供 实时 的 事件 活动 。 
它 还 可 借助 于 其 他 部 件 ,实现 网 络 安全 监视 活动 和 IDS 警告 的 事件 驱动 分 析 。 


8.4 ”入 侵 检测 系统 面临 的 问题 和 挑战 





841 入 侵 检 测 系 统 面 临 的 问题 


1 可 扩展 性 

当 把 入 侵 检 测 方法 移植 到 大 型 复杂 网 络 时 ,也 就 产生 了 扩展 性 问题 ,其 主要 包括 三 个 
方面 。 

@ 基于 时 间 上 的 扩展 。 和 侵 过 程 对 分 析 引 擎 来 说 就 是 事件 或 状态 转变 的 部 分 有 序 
的 序列 。 所 以 ,要 识别 出 入侵 行为 ,入 侵 检测 系统 必须 把 事件 流 看 作 时 间 的 函数 。 当 监视 
那些 由 攻击 脚本 或 人 侵 工具 驱动 的 事件 时 ,这 个 要 求 通常 不 会 成 为 问题 ,因为 这 些 事件 的 
进行 速度 是 很 快 的 。 然 而 ,如 果 入 侵 者 经 过 非常 周密 的 设计 ,实施 一 个 “ 慢 攻 击 ”, 即 攻击 
的 步骤 延 后 到 数 分 钟 . 数 小 时 、 数 天 或 者 更 长 时 间 , 由 于 绝 大 多 数 系统 不 会 保存 足够 多 的 
事件 资料 来 进行 人 侵 追 踪 , 就 会 导致 检测 系统 的 漏 检 。 
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@ 基于 空间 上 的 扩展 。 入 侵 检 测 可 扩展 性 的 另 一 方面 问题 是 : 当 被 监控 的 网 络 从 
几 百 台 主 机 增加 到 几 千 台 甚至 几 十 万 台 主 机 时 , 它 如 何 很 好 地 继续 工作 ? 随 着 联网 的 
系统 日 益 增 多 ,这 种 情形 在 大 型 组 织 中 成 为 普遍 现象 。 此 时 由 于 通信 媒体 的 不 同 , 致 
使 连接 速度 发 生 显著 变化 ,从 而 扭曲 了 被 监控 的 信息 的 时 间 顺 序 。 一 个 人 侵 检测 系统 
如 何 能 够 追踪 到 那些 穿 过 大 型 网 络 、 使 用 各 种 通信 媒体 的 攻击 也 是 目前 所 面临 的 
问题 。 

@ 基于 性 能 上 的 扩展 。 在 大 型 复杂 的 网 络 中 ,由 于 设备 数量 众多 , 软 ,硬件 系 统 存在 
较 大 差异 ,因此 入 侵 检 测 需 要 处 理 大 量 的 采集 资料 ,还 要 针对 各 系统 的 差异 进行 复杂 的 分 
析 和 处 理 。 如 何 将 一 个 在 中 小 型 网 络 中 能 很 好 工作 的 入 侵 检 测 系统 移植 到 大 型 网 络 中 而 
不 影响 其 性 能 是 一 个 严峻 的 挑战 。 另 外 ,网 络 带宽 的 增长 速度 已 经 超过 了 计算 能 力 的 提 
高 速度 ,尤其 对 于 入 侵 检测 而 言 ,为 了 保证 必需 的 检测 能 力 , 通 常 需要 进行 网 络 资料 包 的 
重组 操作 ,这 就 需要 耗费 更 多 的 计算 能 力 。 


2 可 管理 性 

中 网 络 管理 。 随 着 网 络 流量 和 复杂 性 水 平 不 断 提 高 要求 将 入 侵 检测 功能 与 网 络 管 
理 系统 更 加 紧密 地 集成 在 一 起 。 入 侵 检测 系统 使 网 络 管理 系统 较 好 地 理解 网 络 上 发 生 的 
事件 ,网 络 管理 系统 也 通过 提供 能 改进 对 应 决策 的 精确 度 的 信息 而 使 人 侵 检测 系统 受益 。 
然而 ,网 络 管理 与 人 侵 检 测 的 集成 还 需要 解决 很 多 问题 。 首 先 ,网 络 管理 引擎 需要 提供 一 
组 非常 丰富 的 报警 和 响应 功能 来 支持 入侵 检测 系统 的 安全 目标 。 其 次 ,大 型 网 络 管理 系 
统 的 复杂 性 阻碍 着 它们 适应 新 型 的 人 侵 检 测 系统 。 

回 分 布 式 控制 。IDS 检测 器 、 代 理 和 分 析 引 擎 的 分 布 式 控制 策略 能 使 IDS 系统 面 对 
入 侵 时 具有 更 好 的 健壮 性 ,故障 容错 能 力 ,并 且 能 够 在 系统 基础 设施 的 某 部 分 出 现 故障 的 
情况 下 自我 恢复 。 但 是 ,分 布 式 控制 也 有 很 大 的 不 足 : 很 难 按 一 致 性 方式 来 维持 这 种 控 
制 ,要 保护 好 分 布 式 检测 器 免 遭 破坏 就 更 难 了 。 


3 可 靠 性 

要 使 人 侵 检测 系统 发 挥 作用 ,不 管 在 部 件 级 还 是 在 系统 级 它 都 必须 是 可 靠 的 。 这 就 
意味 着 该 系统 必须 对 偶然 故障 以 及 对 可 能 遭受 的 攻击 具有 很 好 的 可 靠 性 。 

Q@ 信息 来 源 的 可 靠 性 。 随 着 系统 安全 控制 技术 的 发 展 ,如 何 可 靠 地 获取 信息 源 , 同 
时 又 避免 信息 的 截取 和 伪造 将 是 一 个 非常 关键 的 因素 。 

@ 分 析 引 擎 的 可 靠 性 。 基 于 异常 检测 的 IDS 面临 的 问题 是 : 应 用 系统 的 复杂 性 越 
来 越 高 ,使 得 系统 的 异常 行为 模型 难以 建立 ,所 以 想 要 对 特定 实体 的 历史 行为 和 当前 
行为 进行 准确 匹配 相当 困难 。 基 于 模式 特定 检测 的 IDS 面临 的 问题 与 处 理 目标 系统 中 
间 体 、 对 象 的 数目 、 以 它们 为 目标 的 攻击 的 数目 有 关 。 随 着 攻击 的 数量 增加 ,系统 必须 
识别 的 攻击 特征 的 数量 也 在 增加 , 若 要 系统 适应 这 种 特征 数据 库 增 加 而 不 降低 性 能 就 
太 难 了 。 

@ 响应 装置 的 可 靠 性 。 响 应 装置 的 可 靠 性 也 是 至 关 重 要 的 。 一 个 人 侵 检测 系统 如 
果 无 法 可 靠 地 记录 有 关 检 测 问题 的 日 志 信息 并 通知 用 户 , 则 它 也 是 没有 什么 价值 的 。 
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842 入 侵 检 测 系 统 面临 的 挑战 


| 提高 人 侵 检测 系统 的 检测 速度 ,以 适应 网 络 通信 的 要 求 。 网 络 安全 设备 的 处 理 速 
度 一 直 是 影响 网 络 性 能 的 一 大 瓶颈 ,虽然 IDS 通常 以 并 联 方式 接 人 网 络 ,但 如 果 其 检测 
速度 跟 不 上 网 络 数据 的 传输 速度 .那么 检测 系统 就 会 漏 掉 其 中 的 部 分 数据 包 , 从 而 导致 漏 
报 而 影响 系统 的 准确 性 和 有 效 性 。 在 IDS 中 .截获 网 络 的 每 一 个 数据 包 , 分 析 、 匹 配 其 中 
是 否 具有 某 种 攻击 的 特征 需要 大 量 的 时 间 和 系统 资源 ,因此 大 部 分 现 有 的 IDS 只 有 几 十 
兆 的 检测 速度 , 随 着 百 兆 甚至 千 兆 网 络 的 大 量 应 用 ,IDS 技术 发 展 的 速度 已 经 远 远 落 后 于 
网 络 速度 的 发 展 。 

@ 减少 人 侵 检测 系统 的 漏 报 和 误 报 ,提高 其 安全 性 和 准确 度 。 基 于 模式 匹配 分 析 方 
法 的 IDS 将 所 有 和 人 侵 行 为 和 手段 及 其 变种 表达 为 一 种 模式 或 特征 ,检测 主要 判别 网 络 中 
搜集 到 的 数据 特征 是 否 在 人 侵 模式 库 中 出 现 。 因 此 , 面 对 着 每 天 都 有 新 的 攻击 方法 产生 
和 新 漏洞 发 布 ,攻击 特征 库 不 能 及 时 更 新 是 造成 IDS 漏 报 的 一 大 原因 。 而 基于 异常 发 现 
的 IDS 通过 流量 统计 分 析 建 立 系 统 正常 行为 的 轨迹 , 当 系 统 运行 时 的 数值 超过 正常 阔 
值 , 则 认为 可 能 受到 攻击 ,该 技术 本 身 就 导致 了 其 漏 报 误 报 率 较 高 。 另 外 ,大 多 数 IDS 是 
基于 单 包 检查 的 ,协议 分 析 得 不 够 ,因此 无 法 识别 伪装 或 变形 的 网 络 攻击 ,也 造成 大 量 漏 
报 和 误 报 。 

@ 提高 人 侵 检测 系统 的 互动 性 能 ,提高 整个 系统 的 安全 性 能 。 在 大 型 网 络 中 ,网 络 
的 不 同 部 分 可 能 使 用 了 多 种 入 侵 检 测 系 统 , 甚 至 还 有 防火 墙 漏 洞 扫描 等 其 他 类 别 的 安全 
设备 ,这 些 和 人 侵 检测 系统 之 间 以 及 IDS 和 其 他 安全 组 件 之 间 如 何 交 换 信息 ,共同 协作 来 
发 现 攻击 、 做 出 响应 。 阻 止 攻击 是 关系 整个 系统 安全 性 的 重要 因素 。 

IDS 再 智能 也 只 是 一 个 安全 管理 工具 ,不 能 解决 一 切 问 题 。 要 使 网 络 安全 ,真正 起 作 
用 的 还 是 人 。 和 良好 的 技术 架构 有 利于 IDS 作用 的 高 效 发 挥 ,但 技术 架构 作为 媒介 只 是 提 
供 一 个 基本 的 平台 ,纵然 是 再 先进 的 数据 收集 或 者 数据 分 析 技 术 ,也 不 过 是 媒介 的 一 种 延 
伸 。IDS 作为 一 种 安全 策略 与 手段 ,可 广泛 地 部 署 在 各 种 类 型 与 规模 的 企业 当中 ,同时 ， 
也 要 求 企 业 原 有 的 安全 体系 要 逐步 优化 ,以 适应 这 种 新 的 安全 策略 。 


85 入 侵 检 测 系统 的 发 展 方向 





在 规模 与 方法 上 ,入 侵 技 术 近 年 发 生 了 变化 ,入 侵 的 手段 与 技术 也 有 了 “进步 与 发 
展 "。 入 侵 技术 的 发 展 与 演化 主要 反映 在 下 列 几 个 方面 : 四 入 侵 或 攻击 的 综合 化 与 复杂 
化 。@ 入侵 主体 对 象 的 间接 化 , 即 实施 人 侵 与 攻击 的 主体 的 隐蔽 化 。@ 入 侵 或 攻击 技术 
的 分 布 化 。 图 攻击 对 象 的 转移 。 今 后 的 入 侵 检 测 系统 大 致 可 朝 下 述 几 个 方向 发 展 。 


1 分布 式 入 侵 检测 系统 
随 着 网 络 入 侵 方 法 和 网 络 计 算 环境 的 复杂 化 ,入 侵 检 测 的 研究 和 应 用 也 越 来 越 多 地 
转向 分 布 式 人 侵 检测 系统 。 在 分 布 式 人 侵 检测 系统 中 ,各 组 件 间 需 要 进行 大 量 信息 交互 ， 
为 了 确保 交互 信息 的 安全 性 和 完整 性 ,这 就 需要 研究 设计 一 种 通用 的 信息 交互 格式 和 加 
221 


mm 信息 安全 技术 ”Egg 


密 通 信 机 制 , 防 止 攻 击 者 破译 交互 信息 并 进而 攻击 整个 人 侵 检测 系统 。 另 外 ,设计 使 用 安 
全 有 效 的 检测 算法 是 分 布 式 人 侵 检测 中 的 又 一 重要 研究 领域 。 重 点 是 基于 PKI 的 安全 
通信 机 制 ,该 机 制 可 以 有 效 实现 组 件 间 的 认证 ,加 密 及 检测 信息 描述 ; 在 入 侵 检测 系统 中 
测试 和 分 析 的 两 种 新 的 方法 : 一 种 是 基于 模糊 逻辑 和 免疫 遗传 算法 的 序列 模式 分 析 方 
法 ; 另 一 种 是 聚 类 算法 经 过 仿真 试验 。 测 试 结果 证 明 , 采 用 这 两 种 方法 可 以 有 效 检 测 异 
常 攻击 事件 ,提高 检测 的 准确 率 。 


2 基于 特征 引擎 分 析 的 入 侵 检 测 系 统 

随 着 网 络 流 量 和 速度 的 不 断 增 加 ,快速 性 成 为 衡量 检测 引擎 性 能 的 重要 指标 ,如 何 提 
高 人 侵 检测 引擎 的 速度 一 直 以 来 都 是 研究 的 热点 问题 。 基 于 特征 的 入侵 检测 引擎 从 两 个 
方面 着 手 : 一 是 如 何 有 效 地 组 织 与 日 俱 增 的 入 侵 规 则 ; 二 是 在 数据 包 与 人 侵 规 则 进行 模 
式 匹 配 时 ,使 用 什么 样 的 模式 匹配 算法 来 快速 、 准 确 地 检测 出 入侵 行为 。Snort 系统 是 世 
界 上 应 用 最 广泛 的 开放 源 代 码 的 基于 特征 的 网 络 人 侵 检测 系统 ,在 行业 内 有 着 重要 的 地 
位 。Snort 系统 有 三 种 模式 的 运行 方式 : 嗅 探 器 模式 .数据 包 记录 器 模式 和 网 络 人 侵 检测 
系统 模式 。 嗅 探 器 模式 捕获 网 络 数据 包 显 示 在 终端 上 ; 数据 包 记录 器 模式 是 把 捕获 的 数据 
包 存储 到 磁盘 ; 网 络 人 侵 检测 系统 模式 能 对 数据 包 进 行 分 析 、 按 规则 进行 检测 .做 出 响应 。 
Snort 使 用 一 种 灵活 的 规则 语言 来 描述 网 络 数据 报 文 ,因此 可 以 对 新 的 攻击 做 出 快速 反应 。 


3 基于 移动 代理 的 入 侵 检 测 系统 

入 侵 检测 系统 也 可 以 对 网 络 中 传输 的 信息 进行 监控 以 发 现存 在 的 基于 网 络 的 攻击 。 
入 侵 检测 系统 从 单一 的 整体 系统 发 展 到 基于 移动 代理 的 分 布 式 系统 。 基 于 移动 代理 的 人 
侵 检 测 系统 ,把 移动 代理 应 用 于 数据 分 析 和 检测 ,该 方法 在 分 析 现 有 的 人 侵 检测 系统 的 基 
础 上 ,通过 对 基于 移动 代理 的 分 布 式 人 侵 检测 系统 的 模型 的 分 析 , 对 该 人 侵 检测 模型 中 基 
于 用 户 行 为 的 IDS 子 系统 进行 了 详细 设计 。 在 用 户 行为 分 析 模 块 中 采用 了 系统 提供 的 
日 志 记录 对 数据 源 进 行 分 析 , 针 对 用 户 设置 的 目标 规则 ,实现 基于 代理 的 入侵 检测 系统 。 


4 基于 免疫 原理 的 入 侵 检测 系统 

基于 免疫 原理 的 入侵 检 测 系统 是 基于 生物 免疫 系统 的 工作 机 理工 作 过 程 ,以 及 人 工 
免疫 系统 的 一 些 模型 和 方法 。 该 体系 将 免疫 原理 应 用 到 入 侵 检测 系统 中 ,开创 性 地 提出 
了 免疫 智能 体 的 概念 。 基 于 免疫 智能 化 技术 的 入 侵 检 测 系统 具有 分 布 式 、 并 发 性 、 智 能 
化 、 进 化 性 的 特点 ,不 但 能 自动 适应 复杂 多 变 的 网 络 环境 ,而 且 能 通过 自我 学 习 、 自 我 进化 
提高 系统 的 入 侵 检 测 能 力 ,能 充分 利用 网 络 资源 协同 完成 人 侵 检测 任务 。 


5 基于 数据 挖掘 的 入 侵 检测 系统 

数据 挖掘 技术 的 目标 是 从 大 型 数据 库 或 数据 仓库 中 提取 隐 仿 的、 未知 的 、 非 平凡 的 及 
有 潜在 应 用 价值 的 信息 或 模式 ,而 入 侵 检 测 也 正 是 要 从 大 量 数据 中 分 析 提 取出 有 用 的 信 
息 ,做 出 判断 ,这 与 数据 挖掘 技术 的 思路 不 谋 而 合 。 将 数据 挖掘 技术 应 用 于 入 侵 检 测 系统 
中 ,采用 数据 挖掘 技术 中 的 关联 规则 分 析 和 频繁 序列 模式 分 析 技 术 , 改 进 相应 的 算法 ,从 
收集 到 的 主机 系统 和 网 络 行为 记录 中 挖掘 出 潜在 的 安全 信息 ,用 关联 分 析 挖 掘 主机 系统 
和 网 络 行为 记录 内 部 模式 ,用 频繁 模式 分 析 挖 掘 系统 和 网 络 行为 记录 数据 之 间 的 模式 。 
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使 用 这 些 模式 自动 构建 入 侵 检 测 系统 的 正常 行为 模式 库 和 入 侵 行为 模式 库 , 并 随 环境 的 
变化 自动 更 新 正常 行为 模式 库 , 达 到 对 入 侵 行 为 的 防御 。 

6 基于 网 络 入 侵 诱 控 技 术 的 入 侵 检 测 系 统 

网 络 入侵 诱 控 是 一 种 可 以 检测 分 析 并 对 入 侵 行 为 做 出 主动 控制 的 安全 新 技术 。 该 方 
法 将 网 络 诱骗 技术 .主机 诱骗 技术 及 动态 配置 技术 相 结合 ,提出 了 一 种 新 型 的 网 络 人 侵 诱 
控 平 台 模 型 ,目的 是 利用 虚拟 诱 控 技术 的 灵活 性 和 动态 配置 技术 的 先进 特点 来 提高 网 络 
和 人 侵 诱 控 的 效能 ,进行 了 模型 的 整体 架构 以 及 封包 截获 .欺骗 网 络 、 欺 骗 主 机 ,动态 配置 等 
模块 的 设计 与 实现 ,并 通过 实验 对 各 关键 实现 进行 了 测试 ,进行 系统 级 程序 实现 。 在 欺骗 
网 络 模块 中 ,采用 树 形 数据 结构 构建 虚拟 路 由 ; 在 欺骗 主机 模块 中 ,引入 操作 系统 指纹 模 
拟 方法 增加 了 模型 的 欺骗 能 力 ; 同时 ,在 整个 模型 中 引入 动态 配置 概念 ,利用 一 种 主动 探 
测 与 被 动 探测 相 结合 的 动态 配置 方法 , 当 受 保护 的 内 部 网 络 状态 发 生变 化 时 ,能 够 调整 自 
身 配置 ,增加 适应 性 。 


7. 基于 核 聚 类 和 序列 分 析 的 网 络 入 侵 检 测 系 统 

该 方法 在 分 析 比 较 了 基于 数据 挖掘 的 人 侵 检测 方法 的 基础 上 组 合 核 聚 类 和 序列 分 析 
的 入侵 检测 方法 ,目的 在 于 获得 聚 类 方法 的 无 监督 性 和 序列 分 析 方 法 容易 捕获 阶段 密集 
性 攻击 的 优势 互补 ,使 训练 时 不 需要 考虑 样本 集中 正常 样本 数量 和 异常 样本 数量 的 比例 
关系 ,能 够 对 包含 小 概率 出 现 的 攻击 和 大 量 出 现 的 有 序列 特征 的 攻击 的 网 络 数据 集 进行 
有 效 的 检测 。 通 过 核 函 数 把 数据 样本 空间 映射 到 一 个 高 维 的 特征 空间 ,使 数据 在 新 的 空 
间 中 具有 更 好 的 可 分 离 性 ; 在 特征 空间 采用 KRA 算法 选取 初始 聚 类 中 心 ,然后 在 核 聚 类 
的 基础 上 ,划分 出 大 簇 小 复 , 并 在 大 簇 中 分 离 出 异类 再 次 进行 核 聚 类 ,从 而 不 断 地 优化 聚 
类 结果 。 根 据 网 络 数据 的 具体 情况 ,定义 由 主 属性 和 参考 属性 构成 的 约束 ,对 闭合 序列 模 
式 挖 掘 算法 (CloSpan) 进 行 改进 ,并 且 在 挖掘 时 利用 序列 位 置信 息 表 快 速 进行 序列 的 扩 
展 ,进而 获得 有 益 信息 。 


8 建立 入 侵 检测 系统 评价 体系 

设计 通用 的 入 侵 检 测 测试 ,评估 方法 和 平台 ,实现 对 多 种 入 侵 检 测 系 统 的 检测 ,已 成 
为 当前 入 侵 检测 系统 的 另 一 重要 研究 与 发 展 领 域 。 评 价 入 侵 检 测 系统 可 从 检测 范围 、 系 
统 资源 占用 、 自 身 的 可 靠 性 等 方面 进行 ,评价 指标 有 能 否 保 证 自身 的 安全 、 运 行 与 维护 系 
统 的 开销 ,报警 准确 率 、 负 载 能 力 , 以 及 可 支持 的 网 络 类 型 .支持 的 入侵 特征 数 、 是 否 支持 
IP 碎片 重组 ,是否 支持 TCP 流 重组 等 。 

对 入 侵 检 测 系 统 进行 评估 的 主要 性 能 指标 如 下 。 

@ 可 靠 性 ,系统 具有 容错 能 力 和 可 连续 运行 。 

@ 可 用 性 ,系统 开销 要 最 小 ,不 会 严重 降低 网 络 系统 性 能 。 

@ 可 测试 ,通过 攻击 可 以 检测 系统 运行 。 

@ 适应 性 ,对 系统 来 说 必须 是 易于 开发 的 .可 添加 新 的 功能 ,能 随时 适应 系统 环境 的 
改变 。 

@ 实时 性 ,系统 能 尽快 地 察觉 人 侵 企 图 以 便 制止 和 限制 破坏 。 

@ 准确 性 ,检测 系统 具有 低 的 误 报 率 和 漏 报 率 。 
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@ 安全 性 ,检测 系统 必须 难于 被 欺骗 和 能 够 保护 自身 安全 。 
用 户 需 要 对 众多 的 IDS 系统 进行 评价 ,评价 指标 包括 IDS 检测 范围 .系统 资源 占用 、 
IDS 系统 自身 的 可 靠 性 与 健壮 性 。 


习题 8 


. 简 述 入 侵 检 测 的 基本 概念 。 

. 简 述 入 侵 检 测 的 基本 模型 。 

. 根据 检测 原理 ,入 侵 检 测 系统 可 以 分 为 哪 几 类 ? 其 原理 分 别 是 什么 ? 
. 什么 是 误 用 检测 ? 简 述 其 原理 。 

. 简 述 基于 主机 的 入 侵 检测 系统 的 优 缺 点 。 

. 简 述 基于 网 络 的 人 侵 检测 系统 的 优 缺点 。 

. 简 述 入 侵 检测 系统 未 来 的 发 展 方向 。 


Dw 
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